信息化觀察網(wǎng)

研究人員警告說，這個新的僵尸網(wǎng)絡(luò)通過使用Mirai惡意軟件框架，以大量的Android設(shè)備為目標(biāo)發(fā)起分布式拒絕服務(wù)（DDoS）攻擊。

研究人員表示，由于該僵尸網(wǎng)絡(luò)的許多功能都是層層"嵌套"的，因此被稱為Matryosh（以Matryoshka俄羅斯嵌套娃娃的名字命名）。該僵尸網(wǎng)絡(luò)通過Android調(diào)試橋（ADB）接口進(jìn)行傳播。ADB是谷歌Android軟件開發(fā)工具包（SDK）中包含的一個實用的命令行程序。它允許開發(fā)人員與設(shè)備進(jìn)行遠(yuǎn)程通信，執(zhí)行命令并完全控制設(shè)備。

另外值得注意的是，Matryosh使用Tor網(wǎng)絡(luò)來隱蔽其惡意活動的痕跡，防止作案的服務(wù)器被攻陷。

360 Netlab的研究人員在本周表示："攻擊手段在網(wǎng)絡(luò)通信層面上的變化表明，僵尸網(wǎng)絡(luò)的幕后操縱者希望實現(xiàn)一種對C2的保護(hù)機制。這樣做會給靜態(tài)分析或IOC模擬器帶來一些困難。"

安卓調(diào)試橋被用于僵尸網(wǎng)絡(luò)的傳播

ADB在安卓手機上的使用是完全未經(jīng)認(rèn)證的。但是為了利用它，攻擊者需要首先啟用設(shè)備上的調(diào)試橋。然而，許多廠商在出廠時就已經(jīng)啟用了Android調(diào)試橋。

這意味著該功能在端口5555上監(jiān)聽，并使任何人都可以通過互聯(lián)網(wǎng)來與受影響的設(shè)備進(jìn)行連接。研究人員沒有說明哪些廠商在其Android設(shè)備中默認(rèn)開啟該功能。安卓設(shè)備包括智能手機，電視機等在內(nèi)的多種設(shè)備。

安全研究人員Kevin Beaumont曾撰文介紹ADB:"這是個非常嚴(yán)重的漏洞，因為它允許任何人在沒有任何密碼的情況下，以'root'管理員的身份來遠(yuǎn)程訪問這些設(shè)備，然后默默地安裝軟件并進(jìn)行惡意攻擊"。除了Matryosh之外，許多僵尸網(wǎng)絡(luò)都利用了這個漏洞，比如ADB.Miner。

Matryosh：Mirai僵尸網(wǎng)絡(luò)的變種

1月25日，研究人員在一個可疑的ELF文件中首次發(fā)現(xiàn)了Matryosh。反病毒軟件檢測器識別該文件為Mirai（這是因為Matryosh使用了Mirai的框架）；但研究人員仔細(xì)檢查后發(fā)現(xiàn)，該文件的網(wǎng)絡(luò)流量與Mirai的特征嚴(yán)重不符。

Mirai是一個臭名昭著的僵尸網(wǎng)絡(luò)，最廣為人知的是它在2016年對DNS提供商Dyn發(fā)動了大規(guī)模的DDoS攻擊，該攻擊導(dǎo)致美國東海岸的互聯(lián)網(wǎng)服務(wù)癱瘓，同時也癱瘓了許多流行的軟件服務(wù)（如Netflix）。

2016年，Mirai作者對外公布了它的源代碼，這使得其他惡意攻擊者更容易做出自己的Mirai惡意軟件變種。

Matryosh僵尸網(wǎng)絡(luò)中的新功能

研究人員指出，Matryosh的加密設(shè)計"具有一定的新穎性"，但仍屬于Mirai的單字節(jié)XOR模式。他們表示，這是該僵尸網(wǎng)絡(luò)的一個缺點，因為它很容易被反病毒軟件系統(tǒng)識別為Mirai。

研究人員指出，除此之外，該僵尸網(wǎng)絡(luò)沒有集成掃描模塊或漏洞利用模塊。

該僵尸網(wǎng)絡(luò)的一大特點是它使用了Tor代理工具，它通過DNS TXT記錄（一種在DNS服務(wù)器上存儲文本注釋的記錄）來從遠(yuǎn)程主機上獲取服務(wù)。

研究人員說："Matryosh的功能相對簡單，當(dāng)它在被感染的設(shè)備上運行時，它會以進(jìn)程重命名的方式來迷惑用戶。然后它會解析遠(yuǎn)程主機名，并使用DNS TXT請求來獲得TOR C2和TOR代理"。

在與TOR代理建立連接后，僵尸網(wǎng)絡(luò)通過代理與TOR C2進(jìn)行通信，并等待C2發(fā)送待執(zhí)行的命令。

誰是Matryosh僵尸網(wǎng)絡(luò)的幕后黑手？

研究人員推測，Moobot集團(tuán)是Matryosh的幕后黑手。Moobot是一個最近出現(xiàn)的基于Mirai網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)家族，其攻擊目標(biāo)是物聯(lián)網(wǎng)（IoT）設(shè)備。

研究人員之所以得出這些結(jié)論，是因為Matryosh與Moobot最新的LeetHozer僵尸網(wǎng)絡(luò)分支有幾個相似之處。例如，它們都使用了類似TOR C2的模型，而且它們的C2端口（31337）和攻擊方法名稱也相同，C2的命令格式也"非常相似"。

Matryosh只是最近出現(xiàn)的眾多僵尸網(wǎng)絡(luò)家族之一，在過去的幾年中，出現(xiàn)了包括Kaiji、Dark_Nexus、MootBot和DDG在內(nèi)的多個僵尸網(wǎng)絡(luò)。

本文翻譯自：https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/如若轉(zhuǎn)載，請注明原文地址：