專項行(xíng)動期間(jiān)，某天各大(dà)藍(lán)隊群內(nèi)都在交流最近是否收到很(hěn)多(duō)來(lái)自印度的攻擊流量，最初部分認為(wèi)是紅隊在使用印度IP進行(xíng)攻擊。但(dàn)很(hěn)快發現事情好像并不是這麽簡單，通(tōng)過對攻擊Payload特征的分析，發現該攻擊不是專項行(xíng)動紅隊所發起，而是來(lái)自一個(gè)正在迅速擴張的僵屍網絡——Mozi（墨子）僵屍網絡。

Mozi僵屍網絡是于2019年底首次出現在針對路由器(qì)和(hé)DVR 的攻擊場(chǎng)景上(shàng)的一種P2P僵屍網絡。主要攻擊物聯網（IoT）設備，包括網件、D-Link和(hé)華為(wèi)等路由設備。它本質上(shàng)是Mirai的變種，但(dàn)也包含Gafgyt和(hé)IoT Reaper的部分代碼，用于進行(xíng)DDoS攻擊、數(shù)據竊取、垃圾郵件發送以及惡意命令執行(xíng)和(hé)傳播。目前其規模已經迅速擴大(dà)，據統計(jì)目前已占到所有(yǒu)物聯網（IoT）僵屍網絡流量的90％ 。

近日知道(dào)創宇404積極防禦實驗室通(tōng)過知道(dào)創宇雲防禦安全大(dà)數(shù)據平台監測到大(dà)量來(lái)自印度IP的攻擊。經分析，其中大(dà)量的攻擊來(lái)自Mozi僵屍網絡，可(kě)能和(hé)近期印度Mozi僵屍網絡大(dà)範圍感染并傳播有(yǒu)關。