十几万Android手机组成的僵尸网络正在活跃,你中招了吗?

你相信只要从官方应用商店下载一个 App 就能保护自己免受恶意软件攻击吗? 你要是信了,就得好好想想了。

来自 Akamai、Cloudflare,、Flashpoint、谷歌、Oracle Dyn、RiskIQ、Team Cymru 等公司研究员组成的安全团队发现了一种新的僵尸网络 WireX。WireX 包含数万台 Android 手机僵尸,大肆进行 DDoS 攻击。WireX 最早在 8 月初出现,利用第三方商店、甚至谷歌官方 Play Store 中感染了恶意程序的 App 进行传播,主要感染 Android 设备。由于充分的信息共享和深入的合作研究,联合安全团队迅速检测出 WireX 详细机制并进行了有效阻击。

大规模 DDoS 攻击引起警惕

有证据表明,攻击者自 7 月中旬就已经开始集结僵尸网络,最初发动的是小规模 DDoS 攻击。但是直到 8 月 17 日攻击者利用 WireX 发起更大规模的 DDoS 攻击后,研究人员才真正注意到 WireX 并开始研究。研究发现,这一波 DDoS 攻击力度很大,超过 100 个国家的 7 万台设备参与了此次攻击,导致大量服务和设备遭入侵。一些攻击甚至还引起了执法部门的注意,因为攻击者借此向目标组织发送了勒索信息。

通过研究分析搜集到的数据,可以发现,在 8 月中旬,这个僵尸网络就已经能利用超过 12 万个不同 IP 地址的僵尸发起 DDoS 攻击,这算是 WireX 的感染峰值。

调查发现,WireX 可以发动第七层也就是应用层的 DDoS 攻击,虽然这不会阻塞服务器,但是会消耗服务器内存资源,导致在线服务崩溃。目前,一些杀毒软件将感染了 WireX 的 App 标注为“Android Clicker”。因为,WireX 还有点击欺诈功能,在感染的初始阶段就能发挥作用,然后开始 DDoS 攻击。

研究人员表示,在 8 月 17 日的大规模 DDoS 攻击中,WireX 主要利用了类似 web 浏览器流量的 user-agent 字符串,针对目标服务器发动 HTTP GET 和 POST 请求。这些字符串由英文小写字母随机组合而成。

因为多个安全公司联手并共享信息,因此可以迅速检测出所有的僵尸。调查发现,谷歌应用商店中,超过 300 款 App 包含恶意 WireX 代码,App 类别涵盖媒体、视频播放器、铃声、存储管理工具等。这些 App 安装后不会立即表现出恶意属性,以此躲避检测。这些 App 使用一切正常,但是会隐藏恶意进程,而隐藏的恶意程序则会等待 “axclick.store” C&C 服务器下发指令。下载这些 App 的用户主要位于俄罗斯、中国和其他亚洲国家。

应对与建议

谷歌目前已经将这些 App 从 Play Store 下架,而且如果用户手机已经包含 Play Protect 特性,则会自动移除含有 WireX 的应用。Play Protect 是谷歌新发布的一项安全方案,主要利用机器学习和 App 利用分析来移除(卸载)Android 手机中的恶意 App,防止用户遭到进一步入侵。

不过,此事也暴露了谷歌另一个机器学习方案 Bouncer 的不足,Bouncer 本来是用于检测并阻止 Play Store 中带有恶意程序的软件。但其实有很多恶意程序能逃过 Bouncer 的检测,还有人利用 Bouncer 系统检测恶意 APP 以进行改进,逃过杀软的检测。

因此,建议用户就算在谷歌 Play Store 下载 App,也要选择可靠、经过认证的开发商,不要安装不必要的 App。同时,要在手机中安装可靠的反病毒 App,以便及时检测并阻止恶意 App;注意将所有 App 更新到最新版本。

多方联手,共同打造互联网安全防御新生态

针对用于 DDoS 攻击或财务诈骗的大规模僵尸网络,以前也有很多方案,但是一直以来,僵尸网络仍然屹立不倒。而因此这一次,这些本是竞争对手的公司难得再次联手,共同研究并阻击 WireX。

与常规意义的攻击防御相比,这次的应对更有意义。因为安全行业和执法机构(主要是 FBI)联合追踪并“抓捕” C2 服务器。与防御和打击相比,这个过程中的合作对整个行业意义更重大。研究人员的合作研究促成了迅速高效的阻击,事后谷歌也很快将恶意 APP 下架并移除,而执法机构则处理那些构成犯罪的内容。

Akamai 高级网络架构师及安全研究员 Jared Mauch:

在这个案例中,我们共享了信息,因此能在短时间内全面研究出这个恶意程序的详情。

Cloudflare 联合创始人兼 CEO Matthew Prince:

我为他们感到骄傲,他们合作展开调查,迅速消除了危机。

Akamai 的高级安全架构师 Tim April 表示:

为了保护互联网和客户安全,这些研究人员之前也一直就小的攻击事件或匿名信息分享而合作过。 这些安全事件最开始都很相似,但由于大家能够分享研究成果,得出结论、作出响应就比平常更快。我们选择在这个时机共同发布研究结果,就是为了强调不同公司之间合作的重要性,并确保所有研究综合在一起,让事件分析更完整。

Cloudflare 机密与安全部门主管 Justin Paine 表示:

在 Mirai 衍生出的大规模攻击之初,就有非正式的联合安全团队成立。在 Mirai 之后的攻击中(如 WannaCry、NotPetya 等),这些合作的研究人员也起到了重大作用。

Flashpoint 的安全研究主管 Allison Nixon 表示:

联合团队的贡献之前几乎鲜有报道。但是,对于一些大型僵尸网络的悄然消失,这种团队功不可没。他们示范了业内合作带来的高效成果。这次发布的不仅是一份合作研究成果,他们能将一个个受害者与攻击者联系起来,并利用已有情报更好地阻止攻击。他们靠自发意识和彼此信任走过了多年。如果不是团队中的研究人员,我觉得互联网可能没法像现在这么安全强大。 当人们谈论“网络安全信息分享”时,他们所期望的,应该是这种联合团队所呈现的合作模式。

联合团队的研究人员也表示,希望此次成功能成为一个典范,促成互联网安全行业更多业内合作,共同应对威胁和攻击。

信息分享对于受害者和整个互联网都能起到积极作用,这份联合报告就是一个很好的案例。跨组织合作对于互联网威胁防御而言非常重要,如果不进行合作防御,攻击者就会为所欲为。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

不雅曝光:Wi-Fi可能是你最薄弱的环节吗?

想象一下,你花了一大笔钱让你的家庭物理方面安全,却发现你被从未闯入你家的小偷悄悄地抢劫了。你以为你已经建造了一座堡垒,但没有发现栅栏上的间隙成为你家对入侵者敞开...

8210
来自专栏北京马哥教育

漫画告诉你什么是DDoS攻击?

根据《2015 H1绿盟科技DDoS威胁报告》指出,如今大流量网络攻击正逐渐呈现增长趋势,前不久锤子科技的发布会以及9月12日苹果官网宕机的案例就印证了这一点。...

388110
来自专栏安恒信息

网络不良言论在各国被关注情况一览

1本周热点话题:网络不良言论备受各国关注 I. 网络涉军违法犯罪和不良信息举报平台正式上线运行 为深入贯彻落实党的十九大精神,充分发挥广大人民群众的参与监督作用...

40290
来自专栏企鹅号快讯

黑客展示如何攻击飞机和汽车

1997年,知名黑客杰夫·莫斯创立了黑帽子大会,历经17年的发展,黑帽大会已经成为信息安全领域的风向标,每年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。 ...

228100
来自专栏FreeBuf

美中不足的IoT:物联网必须要有“网”吗

物联网(IoT)设备正在变得越来越普遍,但并非所有对物联网的努力都以成功告终。 IoT一直是科技界的热门话题,Gartner表示,在2020年全世界将有超过20...

29030
来自专栏FreeBuf

可视化DDoS全球攻击地图

DDoS攻击通过分布式的源头针对在线服务发起的网络消耗或资源消耗的攻击,目的是使得目标无法正常提供服务。DDoS攻击主要针对一些重要的目标,从银行系统到新闻站点...

65160
来自专栏FreeBuf

特别企划 | 勒索界面进化史:聊聊勒索软件中运用的心理学机制

如果说有哪个词汇能同时让终端用户、安全专家以及企业信息主管感到恐惧,它可能就是——勒索软件。 安全圈内早已听说过 Archievus、Reveton、Crypt...

24860
来自专栏云计算D1net

新的隐私保护对于云业务可能意味着什么

想象一下,如果IT人员或所在的公司在云端或其他SaaS(存储即服务)平台上存储有争议的信息,并且突然之间,美国联邦调查局或警方因此将其扣押。一夜之间,其或其所在...

31540
来自专栏大数据文摘

刘紫千:2D的困局,运营商的机会

26350
来自专栏机器人网

干货!不会选电机,还做什么机器人

机器人执行预先规划好的具体任务,比如组装线工作、手术援助、仓库提货/检索,甚至是排除地雷等危险任务。如今的机器人不仅能够处理高重复性的工作,还能完成在方向和动作...

35860

扫码关注云+社区

领取腾讯云代金券