尽管安全行业竞争激烈,但来自 Akamai、Cloudflare、Flashpoint、谷歌、甲骨文 (Dyn)、RiskIQ、Team Cymru 和其他公司的研究人员联手取缔了一个基于 Android 的僵尸网络,该僵尸网络负责本月早些时候的多起 DDoS 攻击。
8 月 17 日,多个 CDN(内容交付网络)和内容提供商开始看到来自僵尸网络的重大攻击,该僵尸网络后来被称为 WireX。
进一步调查显示,早在 8 月 2 日,该僵尸网络还对其他轻微攻击负责,但当时并未引起注意。这些较早的攻击表明僵尸网络的代码仍处于早期开发阶段,但在 8 月 15 日,攻击开始增加。大约在那个时候,一些事件的来源至少有 70,000 个 IP 地址。
根据 Salted Hash 看到的一篇文章,WireX 正在应用层推动容量 DDoS 攻击。僵尸网络生成的流量主要由 HTTP GET 请求组成,但对代码的分析表明,某些变体也可以执行 POST 请求。简而言之,这些攻击看起来像是来自许多通用 HTTP 客户端和浏览器的有效请求。在某一时刻,机器人每秒生成大约 20,000 个请求。
信托集团:
在 WireX 启动两天后,在注意到 User-Agent 字符串中的模式后,Akamai 的研究人员开始搜索他们的日志。深入挖掘 8 月 17 日的攻击数据,确定涉及 100 多个国家,这有点不寻常。
除了看起来很奇怪的 User-Agent 字符串之外,这种非典型特征使 Akamai 的研究人员相信其他组织可能已经看到或经历过类似的攻击。因此,他们联系了一些值得信赖的联系人。
鉴于安全行业的竞争激烈,竞争对手公司的研究人员合作的故事并不常见。当他们这样做时,他们通常值得一提。此类故事也可作为安全社区在某些层面上的紧密程度的可靠示例。
信不信由你,对像 WireX 这样的问题有如此多的关注并不是什么障碍。
“我很高兴地说,它比你想象的要顺利得多。参与的研究人员的工作关系早于并超越了我们目前的雇主,我们都有着亲切的工作关系。当我们有要处理更大的问题,” Flashpoint 安全研究总监艾莉森尼克松解释说。
如前所述,这不是该小组第一次——包括来自 Akamai、Cloudflare、Flashpoint、谷歌、甲骨文 (Dyn)、RiskIQ、Cymru 团队的专家——共同应对此类情况。
为 Akamai 进行网络互联研究和架构的小组成员 Jared Mauch 表示,他们也参与了 Mirai 攻击,并且倾向于“基于共同威胁进行协作,引入值得信赖且知识渊博的同事”。
Cloudflare 的信任与安全负责人贾斯汀·潘恩 (Justin Paine) 补充说:“这个特殊的信任小组过去曾多次聚集在一起,以解决威胁互联网的重大事件(Mirai、WannaCry 和 NotPetya)。”
一旦信任小组开始工作,WireX 的事情很快就开始瓦解。
剪断WireX:
Akamai 的高级安全架构师 Tim April 表示,8 月 17 日的攻击针对的是他们的一位客户。Akamai 的工程师开始调查后,他们转向 Cloudflare,发现那边的客户也受到了攻击。
“我们汇集了有关这些攻击的集体知识,从而发现了可能的感染源。Akamai 能够定位特定的恶意应用程序,Cloudflare 致力于反编译这些应用程序,以便研究小组可以进一步调查,”Paine 解释说。
Akamai 发现攻击源是恶意的 Android 应用程序,从表面上看,这些应用程序对安装它们的用户无害。大多数应用程序利用了 Android 服务架构,允许它们使用资源并进行攻击,即使应用程序本身没有被使用。
研究人员说,应用程序的名称是无意义的字符串。这些字符串,例如xryufrix和ggnegmth,可能旨在帮助恶意软件的作者避免在应用程序商店中被识别。
此外,应用程序上的开发者名称也略有不同,包括TubeMate 2.2.9 YouTube Downloader PRO和TubeMate 2.2.9 SnapTube Youtube Downloader R,以及每个实例使用不同结尾字母的相似名称,包括 J、I、X 和 Z。
Motorcycle Racing Fast研究人员说:“在当前系列启用 DDoS 的恶意软件之前,较旧的应用程序可能使用了带有游戏主题的名称,例如。”
“恶意软件APK包也表现出随机的,假的名称,如com.urrhiccq.app,com.fstnnzbb.app和com.casa.blanca。”
在某些情况下,可以在 Google Play 等知名应用商店中找到 WireX 背后的应用。信托小组联系了这些商店并帮助协调清理工作。
“我们确定了大约 300 个与该问题相关的应用程序,将它们从 Play 商店中屏蔽,我们正在将它们从所有受影响的设备中删除。研究人员的发现结合我们自己的分析,使我们能够更好地保护Android 用户,无处不在,”谷歌发言人说。
Paine 解释说,一旦 WireX 代码被反编译,该小组就能够找到硬编码到应用程序中的 C&C(命令和控制)服务器。
“Cloudflare 还可以查看命令和控制服务器,这使我们能够随着僵尸网络规模的增长而跟踪它的规模。Cloudflare 研究人员也一直在积极规划其他僵尸网络基础设施,”Paine 补充道。
当将 WireX 与在线广告联系起来的迹象开始出现时,信托小组联系 RiskIQ 进行了仔细研究。
“事实上,驱动僵尸网络的移动恶意软件的有效载荷之一是点击欺诈,而被怀疑僵尸网络运营商使用的网站在早些时候被发现用于在线广告服务,”Darren Spruell 解释说, RiskIQ 的威胁研究员。
有趣的是,反病毒巨头迈克菲报告了上周在 Google Play上观察到的一些点击欺诈应用程序。虽然安全公司关于这些应用程序的报告详细说明了一些代码,但他们似乎完全错过了他们发现的应用程序与 WireX 之间的联系。McAfee 的报告称,这些应用程序于 8 月 4 日出现,并在几天后被删除。
据研究人员所知,此前对该恶意软件的报道都没有强调 DDoS 攻击的发生。但是,他们补充说,与社区共享的任何分析都是有价值的。
该组织在一份声明中表示:“我们感谢服务网络提供商对 WireX 的直接参与,以及工作组特定成员对 Android 应用程序进行逆向工程以揭示该功能背后的代码的贡献。”
更新:Salted Hash 联系了 McAfee。一位发言人表示,他们了解 DDoS 方面的问题,但并未将其作为安全披露流程的一部分进行讨论。
“McAfee 知道这些点击欺诈应用程序的 DDoS 方面,但选择推迟公开讨论它们作为安全披露过程的一部分。最初的博客是向我们的客户保证,McAfee 在该领域为那些仍然存在风险。一旦移除完成,迈克菲将发布后续博客,提供有关 Google Play 上威胁演变以及 DDoS 如何在此威胁中发挥作用的更多信息。”
到今天为止,WireX 还没有完全消亡,但信托组织表示它在很大程度上已经失效。
该小组正在与有能力采取行动的执法部门和私营部门密切合作。该组织在给 Salted Hash 的一份声明中表示,虽然 C&C 仍然能够传播,但“僵尸网络的有效规模已显着减小,攻击影响正在最小化。”
“恶意行为者不仅必须重建整个僵尸网络,而且还必须逃避新的安全措施才能再次控制如此庞大的僵尸网络。由于每个参与者的警惕,现在这并不容易. 研究人员目前正在与执法部门合作采取其他行动,以进一步影响僵尸网络操作。”
信息共享可以完成任务:
“这些发现之所以成为可能,是因为 DDoS 目标、DDoS 缓解公司和情报公司之间的开放合作。每个玩家都有不同的难题;如果没有每个人的贡献,这个僵尸网络将仍然是一个谜,”研究人员说一篇关于 WireX 的文章,今天将发布到他们各自的公司博客上。
文章接着说,组织可以做的最好的事情是共享匿名的详细指标——数据包捕获、攻击 IP 日志、赎金记录、请求标头和感兴趣的模式——并提供与共享数据的权限供应商及其可信赖的联系人。
“这份报告是非正式共享如何对受害者和整个互联网产生显着积极影响的一个例子。跨组织合作对于打击互联网威胁至关重要,没有它,犯罪计划就可以不经审查而运作。 ”
