研究人員警告說,這個新的僵尸網(wǎng)絡(luò)通過使用Mirai惡意軟件框架,以大量的Android設(shè)備為目標(biāo)發(fā)起分布式拒絕服務(wù)(DDoS)攻擊。
研究人員表示,由于該僵尸網(wǎng)絡(luò)的許多功能都是層層"嵌套"的,因此被稱為Matryosh(以Matryoshka俄羅斯嵌套娃娃的名字命名)。該僵尸網(wǎng)絡(luò)通過Android調(diào)試橋(ADB)接口進(jìn)行傳播。ADB是谷歌Android軟件開發(fā)工具包(SDK)中包含的一個實用的命令行程序。它允許開發(fā)人員與設(shè)備進(jìn)行遠(yuǎn)程通信,執(zhí)行命令并完全控制設(shè)備。
另外值得注意的是,Matryosh使用Tor網(wǎng)絡(luò)來隱蔽其惡意活動的痕跡,防止作案的服務(wù)器被攻陷。
360 Netlab的研究人員在本周表示:"攻擊手段在網(wǎng)絡(luò)通信層面上的變化表明,僵尸網(wǎng)絡(luò)的幕后操縱者希望實現(xiàn)一種對C2的保護(hù)機制。這樣做會給靜態(tài)分析或IOC模擬器帶來一些困難。"
安卓調(diào)試橋被用于僵尸網(wǎng)絡(luò)的傳播
ADB在安卓手機上的使用是完全未經(jīng)認(rèn)證的。但是為了利用它,攻擊者需要首先啟用設(shè)備上的調(diào)試橋。然而,許多廠商在出廠時就已經(jīng)啟用了Android調(diào)試橋。
這意味著該功能在端口5555上監(jiān)聽,并使任何人都可以通過互聯(lián)網(wǎng)來與受影響的設(shè)備進(jìn)行連接。研究人員沒有說明哪些廠商在其Android設(shè)備中默認(rèn)開啟該功能。安卓設(shè)備包括智能手機,電視機等在內(nèi)的多種設(shè)備。
安全研究人員Kevin Beaumont曾撰文介紹ADB:"這是個非常嚴(yán)重的漏洞,因為它允許任何人在沒有任何密碼的情況下,以'root'管理員的身份來遠(yuǎn)程訪問這些設(shè)備,然后默默地安裝軟件并進(jìn)行惡意攻擊"。除了Matryosh之外,許多僵尸網(wǎng)絡(luò)都利用了這個漏洞,比如ADB.Miner。
Matryosh:Mirai僵尸網(wǎng)絡(luò)的變種
1月25日,研究人員在一個可疑的ELF文件中首次發(fā)現(xiàn)了Matryosh。反病毒軟件檢測器識別該文件為Mirai(這是因為Matryosh使用了Mirai的框架);但研究人員仔細(xì)檢查后發(fā)現(xiàn),該文件的網(wǎng)絡(luò)流量與Mirai的特征嚴(yán)重不符。
Mirai是一個臭名昭著的僵尸網(wǎng)絡(luò),最廣為人知的是它在2016年對DNS提供商Dyn發(fā)動了大規(guī)模的DDoS攻擊,該攻擊導(dǎo)致美國東海岸的互聯(lián)網(wǎng)服務(wù)癱瘓,同時也癱瘓了許多流行的軟件服務(wù)(如Netflix)。
2016年,Mirai作者對外公布了它的源代碼,這使得其他惡意攻擊者更容易做出自己的Mirai惡意軟件變種。
Matryosh僵尸網(wǎng)絡(luò)中的新功能
研究人員指出,Matryosh的加密設(shè)計"具有一定的新穎性",但仍屬于Mirai的單字節(jié)XOR模式。他們表示,這是該僵尸網(wǎng)絡(luò)的一個缺點,因為它很容易被反病毒軟件系統(tǒng)識別為Mirai。
研究人員指出,除此之外,該僵尸網(wǎng)絡(luò)沒有集成掃描模塊或漏洞利用模塊。
該僵尸網(wǎng)絡(luò)的一大特點是它使用了Tor代理工具,它通過DNS TXT記錄(一種在DNS服務(wù)器上存儲文本注釋的記錄)來從遠(yuǎn)程主機上獲取服務(wù)。
研究人員說:"Matryosh的功能相對簡單,當(dāng)它在被感染的設(shè)備上運行時,它會以進(jìn)程重命名的方式來迷惑用戶。然后它會解析遠(yuǎn)程主機名,并使用DNS TXT請求來獲得TOR C2和TOR代理"。
在與TOR代理建立連接后,僵尸網(wǎng)絡(luò)通過代理與TOR C2進(jìn)行通信,并等待C2發(fā)送待執(zhí)行的命令。
誰是Matryosh僵尸網(wǎng)絡(luò)的幕后黑手?
研究人員推測,Moobot集團(tuán)是Matryosh的幕后黑手。Moobot是一個最近出現(xiàn)的基于Mirai網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)家族,其攻擊目標(biāo)是物聯(lián)網(wǎng)(IoT)設(shè)備。
研究人員之所以得出這些結(jié)論,是因為Matryosh與Moobot最新的LeetHozer僵尸網(wǎng)絡(luò)分支有幾個相似之處。例如,它們都使用了類似TOR C2的模型,而且它們的C2端口(31337)和攻擊方法名稱也相同,C2的命令格式也"非常相似"。
Matryosh只是最近出現(xiàn)的眾多僵尸網(wǎng)絡(luò)家族之一,在過去的幾年中,出現(xiàn)了包括Kaiji、Dark_Nexus、MootBot和DDG在內(nèi)的多個僵尸網(wǎng)絡(luò)。
本文翻譯自:https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/如若轉(zhuǎn)載,請注明原文地址: