研究人员警告说,这个新的僵尸网络通过使用Mirai恶意软件框架,以大量的Android设备为目标发起分布式拒绝服务(DDoS)攻击。
研究人员表示,由于该僵尸网络的许多功能都是层层 "嵌套 "的,因此被称为Matryosh(以Matryoshka俄罗斯嵌套娃娃的名字命名)。该僵尸网络通过Android调试桥(ADB)接口进行传播。ADB是谷歌Android软件开发工具包(SDK)中包含的一个实用的命令行程序。它允许开发人员与设备进行远程通信,执行命令并完全控制设备。
另外值得注意的是,Matryosh使用Tor网络来隐蔽其恶意活动的痕迹,防止作案的服务器被攻陷。
360 Netlab的研究人员在本周表示:"攻击手段在网络通信层面上的变化表明,僵尸网络的幕后操纵者希望实现一种对C2的保护机制。这样做会给静态分析或IOC模拟器带来一些困难。"
安卓调试桥被用于僵尸网络的传播
ADB在安卓手机上的使用是完全未经认证的。但是为了利用它,攻击者需要首先启用设备上的调试桥。然而,许多厂商在出厂时就已经启用了Android调试桥。
这意味着该功能在端口5555上监听,并使任何人都可以通过互联网来与受影响的设备进行连接。研究人员没有说明哪些厂商在其Android设备中默认开启该功能。安卓设备包括智能手机,电视机等在内的多种设备。
安全研究人员Kevin Beaumont曾撰文介绍ADB:"这是个非常严重的漏洞,因为它允许任何人在没有任何密码的情况下,以'root'管理员的身份来远程访问这些设备,然后默默地安装软件并进行恶意攻击"。除了Matryosh之外,许多僵尸网络都利用了这个漏洞,比如ADB.Miner。
Matryosh:Mirai僵尸网络的变种
1月25日,研究人员在一个可疑的ELF文件中首次发现了Matryosh。反病毒软件检测器识别该文件为Mirai(这是因为Matryosh使用了Mirai的框架);但研究人员仔细检查后发现,该文件的网络流量与Mirai的特征严重不符。
Mirai是一个臭名昭著的僵尸网络,最广为人知的是它在2016年对DNS提供商Dyn发动了大规模的DDoS攻击,该攻击导致美国东海岸的互联网服务瘫痪,同时也瘫痪了许多流行的软件服务(如Netflix)。
2016年,Mirai作者对外公布了它的源代码,这使得其他恶意攻击者更容易做出自己的Mirai恶意软件变种。
Matryosh僵尸网络中的新功能
研究人员指出,Matryosh的加密设计 "具有一定的新颖性",但仍属于Mirai的单字节XOR模式。他们表示,这是该僵尸网络的一个缺点,因为它很容易被反病毒软件系统识别为Mirai。
研究人员指出,除此之外,该僵尸网络没有集成扫描模块或漏洞利用模块。
该僵尸网络的一大特点是它使用了Tor代理工具,它通过DNS TXT记录(一种在DNS服务器上存储文本注释的记录)来从远程主机上获取服务。
研究人员说:"Matryosh的功能相对简单,当它在被感染的设备上运行时,它会以进程重命名的方式来迷惑用户。然后它会解析远程主机名,并使用DNS TXT请求来获得TOR C2和TOR代理"。
在与TOR代理建立连接后,僵尸网络通过代理与TOR C2进行通信,并等待C2发送待执行的命令。
谁是Matryosh僵尸网络的幕后黑手?
研究人员推测,Moobot集团是Matryosh的幕后黑手。Moobot是一个最近出现的基于Mirai网络的僵尸网络家族,其攻击目标是物联网(IoT)设备。
研究人员之所以得出这些结论,是因为Matryosh与Moobot最新的LeetHozer僵尸网络分支有几个相似之处。例如,它们都使用了类似TOR C2的模型,而且它们的C2端口(31337)和攻击方法名称也相同,C2的命令格式也 "非常相似"。
Matryosh只是最近出现的众多僵尸网络家族之一,在过去的几年中,出现了包括Kaiji、Dark_Nexus、MootBot和DDG在内的多个僵尸网络。