Masjesu 僵尸网络隐蔽攻击物联网设备，专注持久化而非大规模感染

Trellix深入分析了Masjesu僵尸网络的内部运作，这是一个用于分布式拒绝服务（DDoS）攻击的僵尸网络，已感染多种物联网设备。

Masjesu自2023年起活跃，其运营者主要在Telegram上宣传，声称能够发动数百GB规模的DDoS攻击。运营者的帖子同时针对中文和英文用户，”表明其服务继续瞄准中美客户”。目前该运营者的Telegram频道拥有超过400名订阅者，但僵尸网络用户群似乎更大，因最初推广该僵尸网络的频道已被平台以违反政策为由关闭。

攻击来源国家分析显示，Masjesu感染的大多数设备位于越南，但巴西、印度、伊朗、肯尼亚和乌克兰也有大量设备被感染。“数据强烈表明攻击来自多个自治系统，涉及各种网络，而非僵尸网络完全托管于单一虚拟专用服务器（VPS）提供商，”Trellix指出。

近期分析的Masjesu样本显示，其可针对多种架构，包括i386、MIPS、ARM、SPARC、PPC、68K（摩托罗拉68000）和AMD64。该僵尸网络通过D-Link路由器、GPON路由器、华为家庭网关、MVPower DVR、Netgear路由器、UPnP服务及其他物联网设备的漏洞传播。

在受感染设备上，恶意软件绑定硬编码TCP端口的套接字为运营者提供远程访问，并加固自身以实现持久化。恶意软件将敏感字符串（包括命令控制域名、端口、文件夹名和进程名）加密存储在查找表中，运行时解密。

为实现持久化，Masjesu首先分叉新进程，将原始可执行路径重命名为模拟合法Linux动态链接器的路径和功能。然后创建cron作业每15分钟运行重命名的可执行文件，将进程转为后台守护进程，并重命名以显示为合法系统组件。

恶意软件还终止常用进程（如wget和curl），锁定共享临时文件夹，可能为防止其他僵尸网络感染。为传播，它扫描互联网随机IP地址寻找可感染的脆弱设备。

Masjesu使用多个命令控制域名和备用IP，在套接字连接上配置60秒接收超时，客户端解密接收数据。根据服务器接收的数据，僵尸网络可发动多种DDoS攻击，包括UDP、TCP、VSE、GRE、RDP、OSPF、ICMP、IGMP、TCP_SYN、TCP-ACK、TCP-ACKPSH和HTTP洪水攻击。