安卓设备容易受到僵尸网络的DDoS攻击

研究人员警告说，这个新的僵尸网络通过使用Mirai恶意软件框架，以大量的Android设备为目标发起分布式拒绝服务(DDoS)攻击。
研究人员表示，由于该僵尸网络的许多功能都是层层 “嵌套 “的，因此被称为Matryosh(以Matryoshka俄罗斯嵌套娃娃的名字命名)。该僵尸网络通过Android调试桥(ADB)接口进行传播。ADB是谷歌Android软件开发工具包(SDK)中包含的一个实用的命令行程序。它允许开发人员与设备进行远程通信，执行命令并完全控制设备。
另外值得注意的是，Matryosh使用Tor网络来隐蔽其恶意活动的痕迹，防止作案的服务器被攻陷。
360 Netlab的研究人员在本周表示：”攻击手段在网络通信层面上的变化表明，僵尸网络的幕后操纵者希望实现一种对C2的保护机制。这样做会给静态分析或IOC模拟器带来一些困难。”
安卓调试桥被用于僵尸网络的传播
ADB在安卓手机上的使用是完全未经认证的。但是为了利用它，攻击者需要首先启用设备上的调试桥。然而，许多厂商在出厂时就已经启用了Android调试桥。
这意味着该功能在端口5555上监听，并使任何人都可以通过互联网来与受影响的设备进行连接。研究人员没有说明哪些厂商在其Android设备中默认开启该功能。安卓设备包括智能手机，电视机等在内的多种设备。
安全研究人员Kevin Beaumont曾撰文介绍ADB:”这是个非常严重的漏洞，因为它允许任何人在没有任何密码的情况下，以’root’管理员的身份来远程访问这些设备，然后默默地安装软件并进行恶意攻击”。除了Matryosh之外，许多僵尸网络都利用了这个漏洞，比如ADB.Miner。
Matryosh：Mirai僵尸网络的变种
1月25日，研究人员在一个可疑的ELF文件中首次发现了Matryosh。反病毒软件检测器识别该文件为Mirai(这是因为Matryosh使用了Mirai的框架);但研究人员仔细检查后发现，该文件的网络流量与Mirai的特征严重不符。
Mirai是一个臭名昭著的僵尸网络，最广为人知的是它在2016年对DNS提供商Dyn发动了大规模的DDoS攻击，该攻击导致美国东海岸的互联网服务瘫痪，同时也瘫痪了许多流行的软件服务(如Netflix)。
2016年，Mirai作者对外公布了它的源代码，这使得其他恶意攻击者更容易做出自己的Mirai恶意软件变种。
Matryosh僵尸网络中的新功能
研究人员指出，Matryosh的加密设计 “具有一定的新颖性”，但仍属于Mirai的单字节XOR模式。他们表示，这是该僵尸网络的一个缺点，因为它很容易被反病毒软件系统识别为Mirai。
研究人员指出，除此之外，该僵尸网络没有集成扫描模块或漏洞利用模块。
该僵尸网络的一大特点是它使用了Tor代理工具，它通过DNS TXT记录(一种在DNS服务器上存储文本注释的记录)来从远程主机上获取服务。
研究人员说：”Matryosh的功能相对简单，当它在被感染的设备上运行时，它会以进程重命名的方式来迷惑用户。然后它会解析远程主机名，并使用DNS TXT请求来获得TOR C2和TOR代理”。
在与TOR代理建立连接后，僵尸网络通过代理与TOR C2进行通信，并等待C2发送待执行的命令。
谁是Matryosh僵尸网络的幕后黑手?
研究人员推测，Moobot集团是Matryosh的幕后黑手。Moobot是一个最近出现的基于Mirai网络的僵尸网络家族，其攻击目标是物联网(IoT)设备。
研究人员之所以得出这些结论，是因为Matryosh与Moobot最新的LeetHozer僵尸网络分支有几个相似之处。例如，它们都使用了类似TOR C2的模型，而且它们的C2端口(31337)和攻击方法名称也相同，C2的命令格式也 “非常相似”。
Matryosh只是最近出现的众多僵尸网络家族之一，在过去的几年中，出现了包括Kaiji、Dark_Nexus、MootBot和DDG在内的多个僵尸网络。
本文翻译自：https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/如若转载，请注明原文地址：

【责任编辑：赵宁宁 TEL：（010）68476606】