Mozi僵尸网络大规模暴涨，360安全大脑顺藤摸瓜，层层破解“证据链”

自2019年9月3日，360安全大脑全球率先捕获到Mozi僵尸网络的相关样本，并于2019年12月23日首发披露Mozi僵尸网络分析报告，至今两年来，Mozi的受关注度一直高居不下。
作为一种超新型的P2P物联网僵尸网络，Mozi僵尸网络以 DHT 协议寄生在 P2P 网络中进行通信，并通过10多种n-day漏洞利用和telnet弱口令方式进行传播。截至目前，Mozi僵尸网络已在全球范围形成“蠕虫级”传播，累计感染节点超过150万个，其中有83万个节点来自中国。
360安全大脑旗下360 Netlab网络安全研究院从首家发现Mozi僵尸网络开始，就一直对Mozi僵尸网络保持追踪研究，并持续跟进Mozi僵尸网络样本技术分析，Mozi僵尸网络规模暴涨分析，被感染设备分析，犯罪嫌疑人线索溯源等。经过360 Netlab网络安全研究院的深度追踪，层层溯源，Mozi的幕后黑手逐渐浮出水面。
360 Anglerfish蜜罐监测发现危情：
Mozi僵尸网络大规模暴涨
得益于360 Anglerfish蜜罐的监测技术，360 Netlab网络安全研究院可以捕捉到Mozi僵尸网络的感染数据，至少有60%的肉鸡IP位于中国境内，主要分布在河南、山东、广东、北京等省份。并且通过360 Anglerfish蜜罐分析技术，360 Netlab网络安全研究院还发现Mozi僵尸网络传播趋势，掌握Mozi僵尸网络受害者IP、Mozi僵尸网络样本、漏洞利用攻击网络数据包等信息。

图：Mozi僵尸网络全球分布
360 Netlab网络安全研究院还获取到Mozi僵尸网络精准的统计数据，最高活跃IP在16万/日。可以看到在2020年9月份开始，Mozi僵尸网络大规模暴涨，360 Netlab分析出这是因为几组telnet弱口令导致印度和中国的大量设备被入侵并植入Mozi僵尸网络。