该僵尸网络被发现与Gafgyt恶意软件有关，因为它们共用了部分相同的代码。

新的P2P僵尸网络

研究人员对该僵尸网络进行了长达四个月的监控，发现其主要目的是用于DDoS攻击。

Mozi使用DHT协议来实现，该协议基于torrent客户端和其他P2P平台，通常用于存储节点联系信息的标准。

这项协议使僵尸网络的速度更快，并且无需使用服务器，此外还能够隐藏在DHT流量中的有效负载，以逃避检测。

为了确保组件的完整性和安全性，Mozi还使用了ECDSA384和XOR算法。

感染途径及影响

这个僵尸网络是如何和几大品牌的路由器有所关联呢？

又回到我们经常说起的话题：弱密码。

Mozi正是看准了这几种品牌中部分型号的弱密码设备，顺利登录后利用telnet将恶意软件传播到新的易受攻击的设备，并成功执行恶意负载，将受感染的设备自动加入Mozi P2P网络作为新节点。

下一阶段就是从攻击者控制的主服务器接收并执行命令了。

此外，为了确保僵尸网络不会其他攻击者接管，Mozi会在网络节点上设置自动验证，只有通过内置检查的命令才能被执行，最终发起大型DDoS攻击。

易受感染的型号

那么具体有哪些型号容易受到感染呢？如下所示：

近年来，P2P僵尸网络的攻击越来越普遍。

例如，2016年秋季Hajime被发现后的六个月内感染了30万台设备，  Hide'N Seek在2018年9月的短短几天内感染数超过90,000台设备。

尽管对于P2P僵尸网络的防御较难实现，但在了解更多Mozi的细节和弱点之前，任何人都可以猜测其可行性。

而对于受感染路由器的修补也应尽快落实，避免大型网络瘫痪的可能。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。

* 原文链接：

https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/