魔天记忘语小说,盗墓笔记,完美世界有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

安卓設(shè)備容易受到僵尸網(wǎng)絡(luò)的DDoS攻擊

研究人員警告說(shuō)，這個(gè)新的僵尸網(wǎng)絡(luò)通過(guò)使用Mirai惡意軟件框架，以大量的Android設(shè)備為目標(biāo)發(fā)起分布式拒絕服務(wù)(DDoS)攻擊。

研究人員表示，由于該僵尸網(wǎng)絡(luò)的許多功能都是層層 "嵌套 "的，因此被稱為Matryosh(以Matryoshka俄羅斯嵌套娃娃的名字命名)。該僵尸網(wǎng)絡(luò)通過(guò)Android調(diào)試橋(ADB)接口進(jìn)行傳播。ADB是谷歌Android軟件開(kāi)發(fā)工具包(SDK)中包含的一個(gè)實(shí)用的命令行程序。它允許開(kāi)發(fā)人員與設(shè)備進(jìn)行遠(yuǎn)程通信，執(zhí)行命令并完全控制設(shè)備。

另外值得注意的是，Matryosh使用Tor網(wǎng)絡(luò)來(lái)隱蔽其惡意活動(dòng)的痕跡，防止作案的服務(wù)器被攻陷。

360 Netlab的研究人員在本周表示："攻擊手段在網(wǎng)絡(luò)通信層面上的變化表明，僵尸網(wǎng)絡(luò)的幕后操縱者希望實(shí)現(xiàn)一種對(duì)C2的保護(hù)機(jī)制。這樣做會(huì)給靜態(tài)分析或IOC模擬器帶來(lái)一些困難。"

安卓調(diào)試橋被用于僵尸網(wǎng)絡(luò)的傳播

ADB在安卓手機(jī)上的使用是完全未經(jīng)認(rèn)證的。但是為了利用它，攻擊者需要首先啟用設(shè)備上的調(diào)試橋。然而，許多廠商在出廠時(shí)就已經(jīng)啟用了Android調(diào)試橋。

這意味著該功能在端口5555上監(jiān)聽(tīng)，并使任何人都可以通過(guò)互聯(lián)網(wǎng)來(lái)與受影響的設(shè)備進(jìn)行連接。研究人員沒(méi)有說(shuō)明哪些廠商在其Android設(shè)備中默認(rèn)開(kāi)啟該功能。安卓設(shè)備包括智能手機(jī)，電視機(jī)等在內(nèi)的多種設(shè)備。

安全研究人員Kevin Beaumont曾撰文介紹ADB:"這是個(gè)非常嚴(yán)重的漏洞，因?yàn)樗试S任何人在沒(méi)有任何密碼的情況下，以'root'管理員的身份來(lái)遠(yuǎn)程訪問(wèn)這些設(shè)備，然后默默地安裝軟件并進(jìn)行惡意攻擊"。除了Matryosh之外，許多僵尸網(wǎng)絡(luò)都利用了這個(gè)漏洞，比如ADB.Miner。

Matryosh：Mirai僵尸網(wǎng)絡(luò)的變種

1月25日，研究人員在一個(gè)可疑的ELF文件中首次發(fā)現(xiàn)了Matryosh。反病毒軟件檢測(cè)器識(shí)別該文件為Mirai(這是因?yàn)镸atryosh使用了Mirai的框架);但研究人員仔細(xì)檢查后發(fā)現(xiàn)，該文件的網(wǎng)絡(luò)流量與Mirai的特征嚴(yán)重不符。

Mirai是一個(gè)臭名昭著的僵尸網(wǎng)絡(luò)，最廣為人知的是它在2016年對(duì)DNS提供商Dyn發(fā)動(dòng)了大規(guī)模的DDoS攻擊，該攻擊導(dǎo)致美國(guó)東海岸的互聯(lián)網(wǎng)服務(wù)癱瘓，同時(shí)也癱瘓了許多流行的軟件服務(wù)(如Netflix)。

2016年，Mirai作者對(duì)外公布了它的源代碼，這使得其他惡意攻擊者更容易做出自己的Mirai惡意軟件變種。

Matryosh僵尸網(wǎng)絡(luò)中的新功能

研究人員指出，Matryosh的加密設(shè)計(jì) "具有一定的新穎性"，但仍屬于Mirai的單字節(jié)XOR模式。他們表示，這是該僵尸網(wǎng)絡(luò)的一個(gè)缺點(diǎn)，因?yàn)樗苋菀妆环床《拒浖到y(tǒng)識(shí)別為Mirai。

研究人員指出，除此之外，該僵尸網(wǎng)絡(luò)沒(méi)有集成掃描模塊或漏洞利用模塊。

該僵尸網(wǎng)絡(luò)的一大特點(diǎn)是它使用了Tor代理工具，它通過(guò)DNS TXT記錄(一種在DNS服務(wù)器上存儲(chǔ)文本注釋的記錄)來(lái)從遠(yuǎn)程主機(jī)上獲取服務(wù)。

研究人員說(shuō)："Matryosh的功能相對(duì)簡(jiǎn)單，當(dāng)它在被感染的設(shè)備上運(yùn)行時(shí)，它會(huì)以進(jìn)程重命名的方式來(lái)迷惑用戶。然后它會(huì)解析遠(yuǎn)程主機(jī)名，并使用DNS TXT請(qǐng)求來(lái)獲得TOR C2和TOR代理"。

在與TOR代理建立連接后，僵尸網(wǎng)絡(luò)通過(guò)代理與TOR C2進(jìn)行通信，并等待C2發(fā)送待執(zhí)行的命令。

誰(shuí)是Matryosh僵尸網(wǎng)絡(luò)的幕后黑手?

研究人員推測(cè)，Moobot集團(tuán)是Matryosh的幕后黑手。Moobot是一個(gè)最近出現(xiàn)的基于Mirai網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)家族，其攻擊目標(biāo)是物聯(lián)網(wǎng)(IoT)設(shè)備。

研究人員之所以得出這些結(jié)論，是因?yàn)镸atryosh與Moobot最新的LeetHozer僵尸網(wǎng)絡(luò)分支有幾個(gè)相似之處。例如，它們都使用了類似TOR C2的模型，而且它們的C2端口(31337)和攻擊方法名稱也相同，C2的命令格式也 "非常相似"。

Matryosh只是最近出現(xiàn)的眾多僵尸網(wǎng)絡(luò)家族之一，在過(guò)去的幾年中，出現(xiàn)了包括Kaiji、Dark_Nexus、MootBot和DDG在內(nèi)的多個(gè)僵尸網(wǎng)絡(luò)。

本文翻譯自：https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/

網(wǎng)頁(yè)題目：安卓設(shè)備容易受到僵尸網(wǎng)絡(luò)的DDoS攻擊
標(biāo)題URL：http://m.fisionsoft.com.cn/article/dhhhoig.html

新聞中心

其他資訊