Mozi_FTP,Mozi_sftp的发现使我们拥有清晰的证据，证实Mozi拒绝服务攻击也在尝试利用区块挖矿盈利。针对BOT、FTP、sftp这3个网络节点，我们可以看得出创作者早已把“DHT+Config”这种实体模型做为基础功能模块来应用，利用对该功能模块开展任用，再为不一样作用网络节点制定不一样的独特标识命令，进而快速开发作用网络节点所需要的系统，十分便捷，这类便捷是Mozi拒绝服务攻击能够快速拓展的因素其一。

Mozibotv2s的转变是啥？Mozi_BOT的网络节点在Mozi拒绝服务攻击中占数最多。二零二零年1月7日，咱们获得了1个版本信息为v2s的BOT样版(1bd4f62fdad18b0c140dce9ad750f6de)，这种版本号目前很活泼。这种版本号早已导致了广大群众的普遍关心，尽管许多安全性厂商对于此事开展了深入分析，但咱们依然发现也有漏掉的一部分，咱们将从添补的视角，与各位共享咱们的发现。

依据统计分析，moziv2sbot样版主要是arm、MIPS2个CPU构架，下边挑选ARM架构做为深入分析目标，样版数据以下。

v2s的BOT样版和咱们最开始深入分析的v2样版有较大的不一样，在其中最直接的是Config适用的标识，v2s提升了2个标识[cnc],[jg]，此外，提升了外网IP获得，upnp端口转发等作用，下边将深入分析这种作用给Mozi_BOT产生的转变，在其中包含：加上外网IP获得、upnp端口转发等作用，下边将深入分析这种作用给Mozi_BOT产生的转变，在其中[jg]标识的作用，微软公司于今年年8月19日发布。

0x1：标识[cnc]。Mozi拒绝服务攻击的“DHT+Config”那样的制定尽管很便捷，可是也有个缺陷：全部的Bot网络节点在数据同步配备时都存有低效问题，间接导致DDoS的低效。Mozi创作者制定了1个[cnc]标识来应对新的DDoS攻击子任务。整项子任务都重复使用了Mirai的源代码，C2利用[cnc]搜索关键词特定C2,Bot利用Mirai协议和C2创建通讯以后，等候C2发出的指令开展DDos攻击。加上这一子任务以后，当Mozi要发动攻击时，就不会须要利用数据同步Config一回数据同步来获得攻击目标，只需数据同步一回Config，就可以获得特定的C2，进一步提高了Bot网络节点的攻击效率.