研究人员警告说,这个新的僵尸网络以大量Android设备为目标,通过使用Mirai恶意软件框架发起分布式拒绝服务(DDoS)攻击。研究人员称,该僵尸网络被命名为Matryosh(以俄罗斯套娃为原型),因为它的许多功能都是层层“嵌套”的。僵尸网络通过Android调试桥(ADB)接口传播。ADB是一个有用的命令行程序,包含在GoogleAndroid软件开发工具包(SDK)中。它允许开发人员与设备进行远程通信、执行命令并完全控制设备。还值得注意的是,Matryosh使用Tor网络来隐藏其恶意活动的痕迹并防止其服务器受到损害。360Netlab研究人员本周表示:“攻击方式的网络通信层次的变化表明,僵尸网络的幕后操作者希??望对C2实施保护机制。这样做会使静态分析或IOC模拟器带来了一些困难。”AndroidDebugBridge用于传播僵尸网络。在Android手机上使用ADB是完全未经身份验证的。但是为了利用它,攻击者需要首先在设备上启用调试桥。但是,许多供应商都启用了Android调试桥。这意味着该函数侦听端口5555并允许任何人通过互联网连接到受影响的设备。研究人员没有说明哪些制造商在其Android设备中默认开启了该功能。Android设备包括各种设备,包括智能手机、电视等。安全研究员凯文·博蒙特(KevinBeaumont)在谈到ADB时写道:“这是一个非常严重的漏洞,因为它允许任何人在没有任何密码的情况下以‘根’管理员身份远程访问这些设备,然后静默安装软件并进行恶意攻击”。除了Matryosh,还有很多僵尸网络都利用了这个漏洞,比如ADB.Miner。Matryosh:Mirai僵尸网络的变种1月25日,研究人员首先在一个可疑的ELF文件中发现了Matryosh。防病毒软件检测器将该文件识别为Mirai(因为Matryosh使用Mirai的框架);但经过仔细检查,研究人员发现该文件的网络流量与Mirai的签名没有显着匹配。Mirai是一个臭名昭著的僵尸网络,以2016年对DNS提供商Dyn的大规模DDoS攻击而闻名,该攻击导致美国东海岸的互联网服务以及许多流行的软件服务(如Netflix)瘫痪。2016年,Mirai作者向公众发布了源代码,让其他恶意行为者更容易创建自己的Mirai恶意软件变体。Matryosh僵尸网络的新功能研究人员指出,Matryosh的加密设计“有一些新颖性”,但仍属于Mirai的单字节XOR模式。他们说这是僵尸网络的一个缺点,因为它很容易被防病毒软件系统识别为Mirai。研究人员指出,除其他外,僵尸网络没有集成扫描或利用模块。这个僵尸网络的一个显着特征是它使用Tor代理工具,它通过DNSTXT记录(一种在DNS服务器上存储文本注释的记录)从远程主机获取服务。“Matryosh的功能相对简单,当它在受感染的设备上运行时,它会使用进程重命名来迷惑用户。然后解析远程主机名并使用DNSTXT请求来获取TORC2和TOR代理”。僵尸网络与TOR代理建立连接后,通过代理与TORC2通信,等待C2发送命令执行。谁是Matryosh僵尸网络的幕后黑手?研究人员推测MoobotGroup是Matryosh的幕后黑手。Moobot是最近针对物联网(IoT)设备的基于Mirai的僵尸网络系列。研究人员得出这些结论是因为Matryosh与Moobot的LeetHozer僵尸网络的最新分支有几个相似之处。例如,它们都使用了类似TORC2的模型,它们的C2端口(31337)和攻击方法名称也相同,C2命令格式也“非常相似”。Matryosh只是最近出现的众多僵尸网络家族之一,过去几年出现的几个僵尸网络家族包括Kaiji、Dark_Nexus、MootBot和DDG。本文翻译自:https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/
