欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安卓DDOS僵尸网络:The WireX Botnet

来源:本站整理 作者:佚名 时间:2017-08-29 TAG: 我要投稿
安装这些攻击功能的应用程序虽然本来是恶意的,但似乎对已安装它们的用户来说是良性的。这些应用程序还利用了Android服务架构的特性,它允许应用程序即使在后台也可以使用系统资源,因此能够在应用程序未使用时启动攻击。杀毒工具目前将此恶意软件识别为“Android Clicker”特洛伊木马,但本次事件的目的与点击欺骗并无关系。这种恶意软件可能之前跟点击欺骗有点联系,但之后又被作为DDoS之用。
有关应用程序的流氓组件的内部部分的深入概述,请参见附录1。
总结
只有在DDoS攻击的目标(也就是受害者),DDoS缓解公司和情报公司之间开放协作,才能得出这么多发现。对于这次事件的揭露,每个集体都扮演了不同的角色; 没有每个人的贡献,这个僵尸网络将一直是一个谜。
当发生DDoS攻击时,可以做的最好的事情就是分享与攻击相关的详细信息。有了这些信息,我们有能力干掉这个攻击的人才能更加了解它们。
这些指标包括数据包捕获,攻击IP地址列表,赎金笔记,请求标头以及任何有趣的模式。这样的数据不应包含任何合法的客户端流量,以减少隐私问题,并且还会导致合法流量污染和减缓分析。最重要的是,允许您分享这些数据,不仅仅是向您的供应商提供这些数据,而是向更广泛的安全社区的可信任的人分享这些数据。
向别人请求帮助并不可耻。不仅不可耻,而且其实大多数情况下,根本不可能隐藏你被DDoS攻击了这样的事实。一些研究力量是有能力检测全球范围内针对第三方发生的DDoS攻击的存在的,无论这些第三方多么想要对这件事保持沉默。保持沉默并不能带来多少好处,需要积极地面对啊。
共享详细的攻击指标还允许正式和非正式的信息共享组在全球范围内沟通和了解正在发生的攻击,而不仅仅是他们在自己的平台上看到的攻击。这份报告是一个例子,说明如何以非正式的形式分享可以对受害者和整个互联网产生巨大的积极影响。跨组织合作对于应对互联网的威胁至关重要,如果没有这种合作,刑事案件可以不经审查就能运作。
我们要感谢Akamai,Cloudflare,Flashpoint,Google,RiskIQ,Cymru团队以及其他未列出来的研究人员。我们也要感谢联邦调查局在这件事上的协助。
作者 & 研究员
Tim April : Senior Security Architect @ Akamai
Chris Baker : Principal of Threat Intelligence @ Oracle Dyn
Matt Carothers
Jaime Cochran : Security Analyst @ Cloudflare
Marek Majkowski : Enthusiastic Geek @ Cloudflare
Jared Mauch : Internetworking Research and Architecture @ Akamai
Allison Nixon : Director of Security Research @ Flashpoint
Justin Paine : Head Of Trust & Safety @ Cloudflare
Chad Seaman : Sen. Security Intelligence Response Team Engineer @ Akamai SIRT
Darren Spruell : Threat Researcher @ RiskIQ
Zach Wikholm : Research Developer @ Flashpoint
附录1:恶意软件详细分析
识别C2域名
通过检查各个反编译之后的应用程序,发现了某个根域名(axclick[.]store)的多个子域名。这些子域名怀疑是僵尸网络的C2服务器的一部分。
$ grep http * -R
com/twdlphqg/app/ExplorationActivity.smali:    const-string v3, "http://u[.]axclick[.]store/" 
com/twdlphqg/app/services/Ryiidrxcjmfb.smali:    const-string v1, "http://g[.]axclick[.]store/"
其中第一个域(u[.]axclick[.]store)并没有返回任何内容。它只是返回一个空的响应然后加一个200 OK 的状态码,似乎是用来作为基本的互联网连通性测试的。
第二个域(g[.]axclick[.]store)似乎被链接到恶意软件的DDoS组件。 引用此域的应用程序的组件负责创建包含两个WebView实例的Android Service(译者注:Service为Android的四大组件之一)。 第一个WebView实例用作C2信标,轮询C2服务器执行攻击指令。 第二个作为克隆WebView对象进行攻击的参考。 该组件还包含用于转换和配置这些攻击实例的基本逻辑。
还有其他一些有趣的组件,他们都有其独特的角色所在。
这里讨论的第一个组件类型作为基本的,永久的,持久化组件。 一些应用程序使用

android/os/Handler->postDelayed
功能实例化的Service对象。 其实就是使应用程序通过经常间隔轮询C2服务器的Service以实现持久化 ——即使应用程序是在后台运行的时候。 应用程序的其他变种使用AsyncTask对象可达到相同的目的。
第二个组件是用作C2攻击指令解析器的WebViewClient。 它负责检测来自由轮询服务控制的C2 WebView实例的onPageFinished事件,并解析返回的命令。 当攻击命令被成功解析后,这个组件就负责调用最终用来发起攻击的函数。
组件概述
下面我们将单独讲一下从反编译的APK得到的伪代码收集到的信息。 然后,我们将更详细地讨论伪代码到底做了什么,因为这涉及到攻击相关的命令和技术。
Service Runner组件
ServiceRunner组件是用来作为持久后台执行任务的,它将一个Runnable对象注入到一个定时的android.os.handler对象中。由于在Android环境中Service是可以在后台持续运行的,app一旦启动恶意软件就可以持续性地在后台运行。只有在应用被移动设备用户故意kill/关闭掉,或者是在设备重启的情况下,这种后台执行的操作才会停止。

上一页  [1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载