研究人員警告說，這個新的僵尸網(wǎng)絡通過使用Mirai惡意軟件框架，以大量的Android設(shè)備為目標發(fā)起分布式拒絕服務(DDoS)攻擊。

研究人員表示，由于該僵尸網(wǎng)絡的許多功能都是層層 "嵌套 "的，因此被稱為Matryosh(以Matryoshka俄羅斯嵌套娃娃的名字命名)。該僵尸網(wǎng)絡通過Android調(diào)試橋(ADB)接口進行傳播。ADB是谷歌Android軟件開發(fā)工具包(SDK)中包含的一個實用的命令行程序。它允許開發(fā)人員與設(shè)備進行遠程通信，執(zhí)行命令并完全控制設(shè)備。

[[382167]]

另外值得注意的是，Matryosh使用Tor網(wǎng)絡來隱蔽其惡意活動的痕跡，防止作案的服務器被攻陷。

360 Netlab的研究人員在本周表示："攻擊手段在網(wǎng)絡通信層面上的變化表明，僵尸網(wǎng)絡的幕后操縱者希望實現(xiàn)一種對C2的保護機制。這樣做會給靜態(tài)分析或IOC模擬器帶來一些困難。"

安卓調(diào)試橋被用于僵尸網(wǎng)絡的傳播

ADB在安卓手機上的使用是完全未經(jīng)認證的。但是為了利用它，攻擊者需要首先啟用設(shè)備上的調(diào)試橋。然而，許多廠商在出廠時就已經(jīng)啟用了Android調(diào)試橋。

這意味著該功能在端口5555上監(jiān)聽，并使任何人都可以通過互聯(lián)網(wǎng)來與受影響的設(shè)備進行連接。研究人員沒有說明哪些廠商在其Android設(shè)備中默認開啟該功能。安卓設(shè)備包括智能手機，電視機等在內(nèi)的多種設(shè)備。

安全研究人員Kevin Beaumont曾撰文介紹ADB:"這是個非常嚴重的漏洞，因為它允許任何人在沒有任何密碼的情況下，以'root'管理員的身份來遠程訪問這些設(shè)備，然后默默地安裝軟件并進行惡意攻擊"。除了Matryosh之外，許多僵尸網(wǎng)絡都利用了這個漏洞，比如ADB.Miner。

Matryosh：Mirai僵尸網(wǎng)絡的變種

1月25日，研究人員在一個可疑的ELF文件中首次發(fā)現(xiàn)了Matryosh。反病毒軟件檢測器識別該文件為Mirai(這是因為Matryosh使用了Mirai的框架);但研究人員仔細檢查后發(fā)現(xiàn)，該文件的網(wǎng)絡流量與Mirai的特征嚴重不符。

Mirai是一個臭名昭著的僵尸網(wǎng)絡，最廣為人知的是它在2016年對DNS提供商Dyn發(fā)動了大規(guī)模的DDoS攻擊，該攻擊導致美國東海岸的互聯(lián)網(wǎng)服務癱瘓，同時也癱瘓了許多流行的軟件服務(如Netflix)。

2016年，Mirai作者對外公布了它的源代碼，這使得其他惡意攻擊者更容易做出自己的Mirai惡意軟件變種。

Matryosh僵尸網(wǎng)絡中的新功能

研究人員指出，Matryosh的加密設(shè)計 "具有一定的新穎性"，但仍屬于Mirai的單字節(jié)XOR模式。他們表示，這是該僵尸網(wǎng)絡的一個缺點，因為它很容易被反病毒軟件系統(tǒng)識別為Mirai。

研究人員指出，除此之外，該僵尸網(wǎng)絡沒有集成掃描模塊或漏洞利用模塊。

該僵尸網(wǎng)絡的一大特點是它使用了Tor代理工具，它通過DNS TXT記錄(一種在DNS服務器上存儲文本注釋的記錄)來從遠程主機上獲取服務。

研究人員說："Matryosh的功能相對簡單，當它在被感染的設(shè)備上運行時，它會以進程重命名的方式來迷惑用戶。然后它會解析遠程主機名，并使用DNS TXT請求來獲得TOR C2和TOR代理"。

在與TOR代理建立連接后，僵尸網(wǎng)絡通過代理與TOR C2進行通信，并等待C2發(fā)送待執(zhí)行的命令。

誰是Matryosh僵尸網(wǎng)絡的幕后黑手?

研究人員推測，Moobot集團是Matryosh的幕后黑手。Moobot是一個最近出現(xiàn)的基于Mirai網(wǎng)絡的僵尸網(wǎng)絡家族，其攻擊目標是物聯(lián)網(wǎng)(IoT)設(shè)備。

研究人員之所以得出這些結(jié)論，是因為Matryosh與Moobot最新的LeetHozer僵尸網(wǎng)絡分支有幾個相似之處。例如，它們都使用了類似TOR C2的模型，而且它們的C2端口(31337)和攻擊方法名稱也相同，C2的命令格式也 "非常相似"。

Matryosh只是最近出現(xiàn)的眾多僵尸網(wǎng)絡家族之一，在過去的幾年中，出現(xiàn)了包括Kaiji、Dark_Nexus、MootBot和DDG在內(nèi)的多個僵尸網(wǎng)絡。

本文翻譯自：https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/