欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安卓DDOS僵尸网络:The WireX Botnet

来源:本站整理 作者:佚名 时间:2017-08-29 TAG: 我要投稿

2017年8月17日,多个内容分发网络(CDN)和内容提供商遭受了来自被称为WireX的僵尸网络的重大攻击。该僵尸网络由其命令和控制(C2)协议中的一个分隔符字符串而得名。 WireX僵尸网络主要包括运行恶意应用程序的Android设备,而这些恶意应用程序主要用于制造DDoS流量。
前几天,Google被警告称这个恶意软件存在其Play商店中。不久之后,Google删除了数百个受影响的应用程序,并开始从所有设备中删除该恶意应用程序。
来自Akamai,Cloudflare,Flashpoint,Google,Oracle Dyn,RiskIQ,Team Cymru和其他组织的研究人员共同合作打击了这个僵尸网络。有迹象显示这个僵尸网络可能早在8月2日就已经开始活跃,但直到8月17日的攻击才引起了这些组织的关注。这篇文章代表了研究人员的共同智慧和努力,他们以互联网社区的整体利益为重,分享了关于此次僵尸网络的信息。本文是由来自多个组织的研究人员共同撰写的,由Akamai,Cloudflare,Flashpoint和RiskIQ同时发布。
攻击细节
WireX僵尸网络的最早的活动出现在8月2日,因为当时的攻击比较轻微,因此并没有被注意到。 直到研究人员开始在日志中搜索26字符的User-Agent字符串才发现。 这些初始攻击很小,表明恶意软件正处于发展阶段或部署的初期阶段。 持续时间更长的攻击从8月15日开始,这些事件源自至少7万个并发IP地址,如图1所示。

图1:根据参与攻击的每小时观察到的唯一IP数量,僵尸网络的预计增长
WireX是应用层的DDoS攻击。 攻击节点生成的流量主要是HTTP GET请求,有些变体似乎能发出POST请求。 换句话说,僵尸网络产生类似于普通HTTP客户端和Web浏览器的有效请求的流量。
通过初始观察,发现了通过使用包含小写英文字母字符的HTTP请求的User-Agent字符串,并以随机顺序来区分来自该僵尸网络的大部分流量。
看到的一些User-Agent值:
User-Agent: jigpuzbcomkenhvladtwysqfxr 
User-Agent: yudjmikcvzoqwsbflghtxpanre 
User-Agent: mckvhaflwzbderiysoguxnqtpj 
User-Agent: deogjvtynmcxzwfsbahirukqpl 
User-Agent: fdmjczoeyarnuqkbgtlivsxhwp 
User-Agent: yczfxlrenuqtwmavhojpigkdsb 
User-Agent: dnlseufokcgvmajqzpbtrwyxih
还观察到恶意软件的变种发出不同长度和扩展字符集的User-Agent字符串,有的包括常见的浏览器User-Agents。 以下是其他User-Agents的一些示例:
User-Agent: xlw2ibhqg0i 
User-Agent: bg5pdrxhka2sjr1g 
User-Agent: 5z5z39iit9damit5czrxf655ok060d544ytvx25g19hcg18jpo8vk3q 
User-Agent: fge26sd5e1vnyp3bdmc6ie0 
User-Agent: m8al87qi9z5cqlwc8mb7ug85g47u 
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.1b3) Gecko/20090305 Firefox/3.1b3 (.NET CLR 3.5.30729) 
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.7) Gecko/20071018 BonEcho/2.0.0.7 
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_7; en-us) AppleWebKit/530.19.2 (KHTML, like Gecko) Version/4.0.2
追根溯源
对8月17日攻击数据的分析显示,来自100多个国家的设备参与了当前的僵尸网络,这点很不寻常。攻击IP的分布情况以及其独特的User-Agent字符串让当初调查的那些研究人员开始觉得其他组织可能已经看到或可能会遇到类似的攻击。于是研究人员与其他组织的同事们互相交流碰到的情况。
就这样一旦展开了更大规模的协同努力,调查便迅速开始展开。通过对历史日志信息进行分析,发现了攻击IP和恶意的连接,可能运行在Android操作系统之上。
在Mirai攻击之后,信息共享氛围已经出现了复苏,研究人员互相分享状况报告,并在必要时协同解决互联网问题。此外,WannaCry,Petya等全球性活动加强了这一合作的价值。诸如此类的许多信息共享组织完全是业界同行之间的非正式沟通。
找到恶意软件
调查8月17日攻击的日志显示,通过与之前的攻击比对签名,找到了具有相同签名的第一个Android应用程序“twdlphqg_v1.3.5_apkpure.com.apk”。 研究人员很快找到了该应用程序的样本以了解它的工作原理,并确定相关应用程序是否可能存在。 使用应用程序包中的应用程序名和参数的变体搜索可以显示来自相同或类似命名的作者的多个应用程序,他们具有相似的描述,如图2所示。找到新的应用程序之后,团队中的其他人就开始深入分析二进制文件来了解它们的工作原理。

图2:搜索相关恶意软件的截图
其实在移动设备预置的知名app store(像Google Play这样的)发现这样的应用的情况实属少见。联系上Google之后,Google迅速删除了违规内容。 谷歌做了以下评论作为对这项研究的回应:

我们确定了与此问题相关的大约300个应用程序,将其从Play商店中移除,并且我们正在将其从所有受影响的设备中删除。有了研究人员的发现,再结合我们自己的分析,使我们能够更好地保护Android用户。
恶意软件概览
许多已识别的恶意软件为媒体/视频播放器,铃声或者像存储管理器这样的工具,还有应用商店等,而其中附加的隐藏功能对被感染的终端用户来说却并不明显。当启动应用程序时,恶意组件就启动命令和控制轮询服务开始工作,查询命令和控制服务器,其中最常见的是用于攻击命令的g[.]axclick[.]store。当接收到攻击命令时,解析服务将检查原始攻击命令,并从中解析出关键信息并将其作为参数调用攻击服务。

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载