返回 登录
6

Google Play 300 款 App 遭新型 WireX DDoS 僵尸网络攻击,你的 Android 设备还好吗?

阅读7926

近日,六家科技和安全公司(其中一些是竞争对手)分别发布了几乎一样的稿件(Flashpoint, Akamai, Cloudflare, RiskIQ)。这种少见的跨行业合作目的是共同对抗一种名为 “WireX” 的网络攻击。WireX 在本月发起了一系列的大规模网络攻击,它是无数 Android 手机被黑的罪魁祸首。

参与对抗的专家警告说,WireX 是新一类攻击工具的代表,想要摧毁这些攻击工具比以往更加艰难,因此需要更多的同行共同努力联合对抗。

该图显示了2017年8月前三周 WireX 僵尸网络的快速增长。

WireX 最早出现在 2017 年 8 月 2 日,当时发现有少数的 Android 设备受到黑客的在线攻击。之后不到两个星期,被 WireX 感染的 Android 设备数量已经多大数万台。

更令人担忧的是,僵尸网络的肇事者目前还控制着酒店行业中的几个大型网站,他们给这些网站制造大量的垃圾请求,造成真正的访问者无法访问网站。

专家通过跟踪攻击事件很快就定位出了运行 WireX 的恶意软件,它们分散在 Google Play 里大约 300 种不同的移动应用中,包括视频播放器、铃声或者文件管理器之类的简单工具,常见的软件名为 Network、FilterFile、StorageData、StorageDevice、Analysis。

Google 在一份书面声明中说:“我们确定了大约有 300 个与此问题相关的应用程序,我们将其从 Play Store 中屏蔽,并正在将其从所有受影响的设备中删除。通过结合研究人员的发现和我们自己的分析,我们能够更好地保护所有的 Android 用户。”

为了避免被发现,应用商店中被感染的应用程序表面上执行其基本的功能。但这些应用程序还捆绑了一个将在后台偷偷启动的小程序,并导致受感染的移动设备秘密地连接到恶意软件创建者使用的 Internet 服务器,从而控制整个被黑客攻击的设备。受到感染的移动设备将被控制服务器的指令所控制,执行其指定的操作。

Google Play 中被 WireX 恶意软件感染的应用程序样本。

专家指出目前还不清楚可能被 WireX 感染的 Android 设备的具体数量,原因是只有一小部分受感染的系统能够在任何特定的时间攻击目标。他们发现,关闭电源的设备不会受到攻击,但是锁屏设备仍然可以在后台进行攻击

Akamai 的高级工程师 Chad Seaman 说:“我们平台的数据显示有 13 到 16 万(唯一的 Internet 地址)受到了攻击”。 Akamai 是一家专门帮助企业避免大规模 DDoS 攻击的公司(Akamai 在去年 Mirai 攻击事件中保护了 KrebsOnSecurity 免受攻击)。

发布同样新闻稿的 Akamai 和其他参与对抗 WireX 的公司表示僵尸网络感染了至少 7 万个 Android 系统,但是 Seaman 说这个数字是比较保守的。

“七万只是保守估计的数字,假设你正开车行驶在高速公路上,你的手机忙于攻击一些网站,那么你的设备有可能在攻击日志中显示三四个甚至五个不同的互联网地址。” Seaman 在接受 KrebsOnSecurity 采访时说。“我们看到来自 100 多个国家受感染设备的攻击,它几乎无处不在。”

基于 MIRAI

来自 Akamai 和其他参与对抗 WireX 公司的安全专家表示,他们的此次合作基础是源于去年 Mirai 制造的那场 DDoS 大规模攻击事件,Mirai 攻击那些缺乏安全性的“物联网”(IoT)设备,如安全摄像头、数字录像机和互联网路由器。

去年9月,第一个也是最大的 Mirai 僵尸网络的巨大攻击造成一些网站离线了好几天。几天之后 ,随着 Mirai 源代码在网上发布和使用,几十个模仿 Mirai 的僵尸网络也随之出现。其中的几个僵尸网络用来对各种目标进行大规模的 DDoS 攻击,导致许多互联网巨头的网站都无法访问。

纽约的一家安全公司 Flashpoint 的安全研究总监 Allison Nixon 表示,Mirai 的攻击事件给安全行业敲响了警钟,我们需要呼吁更多合作来共同对抗非法攻击。

Nixon 说:“当 Mirai DDoS 僵尸网络开始出现并大规模攻击互联网的基础设施,如果人们无法应对 DDoS 攻击那么这将造成大面积的服务中断。“攻击事件会促成更多的企业合作。行业中的不同企业都开始关注此事,其中一部分人意识到必须及时需要处理这件事情,否则这样的攻击将会越来越大,越来越猖狂。“

Mirai 不仅攻击力度很大,而且传播速度很快。但是 Mirai 并不是特别复杂的攻击平台, WireX 则是。

点击欺诈

据研究,WireX 僵尸网络会执行分布式的“点击欺诈”,”网络广告欺诈的恶性形式,根据最新估算,这种在线广告欺诈行为在今年将花费出版商和企业大约160亿美元。多个防病毒工具目前检测到 WireX 恶意软件并认定其是点击欺诈恶意软件的变体。

研究人员认为,在某些时候,点击欺诈僵尸网络被重新利用来进行 DDoS 攻击。虽然由 Android 设备提供的 DDoS 僵尸网络非常少见,僵尸网络伪装成移动浏览器的常规互联网流量,攻击那些专注于保护公司免受大规模 DDoS 攻击的公司。

DDoS 防御者通常依赖于开发定制的“过滤器”或“签名”,可以帮助他们将 DDoS 攻击流量与流向目标站点的合法 Web 浏览器流量区分开。但是专家认为,WireX 有能力使这一过程变得更加困难。

这是因为 WireX 包括自己所谓的“无头” Web 浏览器,可以做一个真正的,用户驱动的浏览器可以做的一切,除非没有实际显示浏览器给受感染系统的用户。

此外,Wirex可以使用 SSL 加密攻击流量 - Android 用户需要提交敏感数据时为了保护浏览器会话的安全性会使用同样的技术。这为攻击流量增加了混淆,因为防御者需要传入的数据包进行解密,然后才能判断内部的流量是否匹配恶意攻击流量签名。防御者把 WireX 流量和合法的用户访问请求区分出来比平常更加困难并且耗费更多时间。

Akamai 的 Seaman 说:“想要减少这样的攻击是非常痛苦的过程,而这些攻击所具备的高级功能使其充满威胁性。

无法隐瞒攻击事件

以往很多发现自己被 DDoS 攻击的公司试图对公众隐瞒该事件 - 也许害怕客户或用户对自身系统安全性进行指责。

但是现在受到大型 DDoS 攻击不再耻辱,Flashpoint 的 Nixon 说,如果没有其他原因,受害者越来越难以向公众隐藏攻击事件。

“包括 Flashpoint 在内的多家公司都构建了监测第三方是否受到 DDoS 攻击的能力。”Nixon 说。“即使我不在一家应对 DDoS 攻击的公司工作,但是当第三方受到攻击时,我们仍然可以知道。此外,网络运营商和互联网服务供应商不仅会监控自身的 DDoS 攻击,其中一些公司还构建了能够感知网络 DDoS 流​​量的能力。“

正如多个国家现在采用各种技术共同监管那些进行地下核武器试验的国家一样,众多的组织都在积极检测大规模的 DDoS 攻击事件,Seaman 补充说。

“通过卫星和地震仪可以检测核[爆炸]可以得到炸弹的大小和类型,但是无法立即得知谁是它的发起者,”他说。“只有当我们总结了许多这些报告时,我们才能更好地了解到底发生了什么。这是一个很好的例子,任何一个人都不会比一个团队更聪明。“

WireX 行业联盟指出,在 DDoS 攻击下最明智的一步做法是与安全厂商交谈,能够共享与攻击有关的详细指标。

报告指出:“有了这些信息,防御者就能够比其他方式更多地了解这些计划。” “请求帮助并不耻辱,不仅没有耻辱,在大多数情况下,你也无法隐藏自己处于 DDoS 攻击的事实。一些研究机构有能力检测全球范围内针对第三方发生的 DDoS 攻击事件,无论这些被攻击者是否企图隐藏该事件。保密并不会带来好处。“

原文:Tech Firms Team Up to Take Down ‘WireX’ Android DDoS Botnet
翻译:安翔
审校:苏宓

评论