研究人员警告说,新的僵尸 *** 是通过使用的Mirai恶意软件框架,大量Android设备发起分布式拒绝服务(DDoS)攻击。
研究人员说,僵尸 *** 的许多功能是 "嵌套 "所以叫Matryosh(以Matryoshka俄罗斯嵌套娃娃的名字)。僵尸 *** 通过Android调试桥(ADB)传播接口。ADB是谷歌Android软件开发工具包(SDK)一个实用的命令行程序。它允许开发人员远程通信设备,执行命令并完全控制设备。
另外值得注意的是,Matryosh使用Tor *** 隐藏其恶意活动的痕迹,防止犯罪服务器被抓获。
360 Netlab本周,研究人员表示:"攻击手段在 *** 通信层面的变化表明,僵尸 *** 幕后操作员希望实现一种对抗C2保护机制。这将给予静态分析或IOC模拟器带来一些困难。"
用于传播僵尸 *** 的安卓调试桥
ADBAndroid手机的使用完全未经认证。但为了使用它,攻击者需要首先在设备上启用调试桥。然而,许多制造商在出厂时已经开始使用它Android调试桥。
这意味着该功能可以在端口5555上监控,任何人都可以通过互联网连接受影响的设备。研究人员没有解释哪些制造商在其中Android该功能默认在设备中打开。安卓设备包括智能手机、电视等。
安全研究人员Kevin Beaumont曾撰文介绍ADB:"这是一个非常严重的漏洞,因为它允许任何人在没有任何密码的情况下使用它root管理员远程访问这些设备,然后默默地安装软件并进行恶意攻击"。除了Matryosh此外,许多僵尸 *** 都利用了这个漏洞,比如ADB.Miner。
Matryosh:Mirai变种僵尸 ***
1月25日,研究人员处于可疑状态ELF文件中首次发现Matryosh。该文件被反病毒软件检测器识别为Mirai(这是因为Matryosh使用了Mirai框架);但经过仔细检查,研究人员发现该文件的 *** 流量和Mirai特征严重不一致。
Mirai它是一个臭名昭著的僵尸 *** ,在2016年最为人知DNS提供商Dyn大规模启动DDoS攻击导致美国东海岸的互联网服务瘫痪,以及许多流行的软件服务(如Netflix)。
2016年,Mirai作者公布了其源代码,使其他恶意攻击者更容易 *** 自己的源代码Mirai恶意软件变种。
Matryosh僵尸 *** 的新功能
研究人员指出,Matryosh 的加密设计"具有一定的新颖性",但仍属于Mirai的单字节XOR模式。他们说这是僵尸 *** 的一个缺点,因为它很容易被反病毒软件系统识别为Mirai。
研究人员指出,僵尸 *** 没有集成扫描模块或漏洞使用模块。
僵尸 *** 的一个主要特点是它使用了它Tor *** 工具,它通过DNS TXT记录(一种在DNS将文本注释记录存储在服务器上)从远程主机获取服务。
研究人员说:"Matryosh其功能相对简单。当它在感染设备上运行时,它会通过重命名过程来迷惑用户。然后它将分析远程主机的名称并使用它DNS TXT请求来获得TOR C2和TOR *** "。
在与TOR *** 建立连接后,僵尸 *** 通过 *** 与TOR C2通信,等待C2发送待执行的命令。
谁是Matryosh幕后僵尸 *** 的黑手
研究人员推测,Moobot集团是Matryosh幕后黑手。Moobot基于最近的出现Mirai僵尸 *** 家族的攻击目标是物联网(IoT)设备。
研究人员得出这些结论的原因是Matryosh与Moobot最新的LeetHozer僵尸 *** 分支有几个相似之处。例如,它们都使用类似的 *** TOR C2的模型,而且它们的C2端口(313称相同的端口(3137)。C2命令格式也 "非常相似"。
Matryosh只是最近出现的众多僵尸 *** 家族之一,在过去的几年里,包括Kaiji、Dark_Nexus、MootBot和DDG多个僵尸 *** ,包括。
本文翻译自:https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/