【安全圈】基于 Mirai 的 xlabs_v1 僵尸網(wǎng)絡(luò)利用 ADB 劫持物聯(lián)網(wǎng)設(shè)備發(fā)動(dòng) DDoS 攻擊

關(guān)鍵詞

攻擊

網(wǎng)絡(luò)安全研究人員揭露了一種新的源于 Mirai 的僵尸網(wǎng)絡(luò)，它自稱為 xlabs_v1，目標(biāo)是暴露在互聯(lián)網(wǎng)上且運(yùn)行安卓調(diào)試橋（ADB）的設(shè)備，將這些設(shè)備納入一個(gè)可發(fā)動(dòng)分布式拒絕服務(wù)（DDoS）攻擊的網(wǎng)絡(luò)。

詳細(xì)研究該惡意軟件的 Hunt.io 表示，他們在發(fā)現(xiàn)位于荷蘭的服務(wù)器（IP 地址為 “176.65.139 [.] 44”）上有一個(gè)無需任何認(rèn)證即可訪問的暴露目錄后，發(fā)現(xiàn)了這一僵尸網(wǎng)絡(luò)。

Hunt.io 稱，該惡意軟件支持基于 TCP、UDP 和原始協(xié)議的 21 種洪水攻擊變體，包括 RakNet 和類似 OpenVPN 的 UDP 攻擊，能夠繞過消費(fèi)級 DDoS 防護(hù)。它還被作為一種 “出租 DDoS 攻擊服務(wù)” 提供，專門針對游戲服務(wù)器和我的世界（Minecraft）主機(jī)。

xlabs_v1 引人注目的地方在于，它會(huì)搜尋在 TCP 端口 5555 上運(yùn)行暴露 ADB 服務(wù)的安卓設(shè)備，這意味著任何默認(rèn)啟用該工具的設(shè)備，如安卓電視盒、機(jī)頂盒、智能電視等，都可能成為潛在目標(biāo)。

除了安卓 APK（“boot.apk”），該惡意軟件還支持多架構(gòu)構(gòu)建，涵蓋 ARM、MIPS、x86 - 64 和 ARC，表明它也針對家用路由器和物聯(lián)網(wǎng)（IoT）硬件。

最終形成的是一個(gè)專門構(gòu)建的僵尸網(wǎng)絡(luò)，它會(huì)從操作員面板（“xlabslover [.] lol”）接收攻擊命令，并按需產(chǎn)生大量垃圾流量，尤其針對游戲服務(wù)器發(fā)動(dòng) DDoS 攻擊。

Hunt.io 解釋說：“該僵尸程序是靜態(tài)鏈接的 ARMv7 版本，運(yùn)行在精簡的安卓固件上，通過 ADB shell 粘貼到 /data/local/tmp 目錄進(jìn)行交付。操作員的九種變體有效載荷列表是針對安卓電視盒、機(jī)頂盒、智能電視以及出廠啟用 ADB 的物聯(lián)網(wǎng)級 ARM 硬件進(jìn)行調(diào)整的。”

有證據(jù)表明，這種 “出租 DDoS 攻擊服務(wù)” 采用帶寬分層定價(jià)。這一判斷基于一個(gè)帶寬分析程序，該程序會(huì)收集受害者的帶寬和地理位置信息。

該組件會(huì)向地理位置最近的 Speedtest 服務(wù)器打開 8192 個(gè)并行 TCP 套接字，持續(xù) 10 秒使其飽和，并將測量到的數(shù)據(jù)傳輸速率報(bào)告回面板。Hunt.io 指出，這樣做的目的是為付費(fèi)客戶將每個(gè)被攻陷的設(shè)備分配到相應(yīng)的價(jià)格層級。

這里需要注意的一個(gè)重要方面是，僵尸網(wǎng)絡(luò)在以 Mbps（兆比特每秒）為單位發(fā)送帶寬信息后就不再駐留，這意味著由于缺乏持久化機(jī)制，操作員必須通過相同的 ADB 利用通道再次感染該設(shè)備。

Hunt.io 稱：“該僵尸程序不會(huì)將自身寫入磁盤持久化位置，不會(huì)修改初始化腳本，不會(huì)創(chuàng)建 systemd 單元，也不會(huì)注冊定時(shí)任務(wù)。這種設(shè)計(jì)表明，操作員將帶寬探測視為一種不頻繁的集群層級更新操作，而非每次攻擊前的預(yù)檢查，這種退出并重新感染的循環(huán)是其設(shè)計(jì)意圖。”

xlabs_v1 還具有一個(gè) “殺手” 子系統(tǒng)，用于終止競爭對手，以便獨(dú)占受害者設(shè)備的全部上行帶寬來發(fā)動(dòng) DDoS 攻擊。目前尚不清楚該惡意軟件背后的主謀是誰，但從僵尸程序每個(gè)版本中嵌入的 ChaCha20 加密字符串可看出，威脅行為者的綽號是 “Tadashi”。

對共置基礎(chǔ)設(shè)施的進(jìn)一步分析發(fā)現(xiàn)，在主機(jī) 176.65.139 [.] 42 上有一個(gè) VLTRig 門羅幣挖礦工具包，不過目前還不清楚這兩組活動(dòng)是否為同一威脅行為者所為。

Hunt.io 表示：“從商業(yè)犯罪角度來看，xlabs_v1 處于中等水平。它比典型腳本小子使用的 Mirai 衍生版本更為復(fù)雜，但不如頂級商業(yè)出租 DDoS 攻擊操作那么復(fù)雜。該操作員在價(jià)格和攻擊種類上競爭，而非技術(shù)復(fù)雜性。消費(fèi)級物聯(lián)網(wǎng)設(shè)備、家用路由器和小型游戲服務(wù)器運(yùn)營商是其目標(biāo)。

與此同時(shí)，Darktrace 透露，其蜜罐網(wǎng)絡(luò)中一個(gè)故意配置錯(cuò)誤的 Jenkins 實(shí)例遭到未知威脅行為者的攻擊，他們從遠(yuǎn)程服務(wù)器（“103.177.110 [.] 202”）下載并部署了一個(gè) DDoS 僵尸網(wǎng)絡(luò)，同時(shí)采取措施躲避檢測。

該公司表示：“特定于游戲的 DoS 技術(shù)的出現(xiàn)，進(jìn)一步凸顯了游戲行業(yè)持續(xù)成為網(wǎng)絡(luò)攻擊者的廣泛目標(biāo)。這個(gè)僵尸網(wǎng)絡(luò)很可能已經(jīng)被用于攻擊游戲服務(wù)器，這提醒服務(wù)器運(yùn)營商要確保采取適當(dāng)?shù)木徑獯胧！?/p>

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！