新型僵尸網絡攻擊Android能挺住嗎?
《p》近日,六家科技和安全公司(其中一些是競爭對手)分別發布了幾乎一樣的稿件(《a href=“https://www.flashpoint-intel.com/blog/wirex-botnet-industry-collaboration/”》Flashpoint《/a》, 《a href=“https://blogs.akamai.com/2017/08/the-wirex-botnet-an-example-of-cross-organizational-cooperation.html”》Akamai《/a》, 《a href=“https://blog.cloudflare.com/the-wirex-botnet/”》Cloudflare《/a》, 《a href=“https://www.riskiq.com/blog/labs/wirex-botnet/”》RiskIQ《/a》)。這種少見的跨行業合作目的是共同對抗一種名為 “《strong》WireX《/strong》” 的網絡攻擊。WireX 在本月發起了一系列的大規模網絡攻擊,它是無數 Android 手機被黑的罪魁禍首。《/p》《p》參與對抗的專家警告說,WireX 是新一類攻擊工具的代表,想要摧毀這些攻擊工具比以往更加艱難,因此需要更多的同行共同努力聯合對抗。《/p》《p》《/p》《center》《img src=“http://img.blog.csdn.net/20170904105126317” alt=“” title=“”》《/center》《p》《/p》《p》《/p》《center》《em》該圖顯示了2017年8月前三周 WireX 僵尸網絡的快速增長。《/em》《/center》《p》《/p》《p》WireX 最早出現在 2017 年 8 月 2 日,當時發現有少數的 Android 設備受到黑客的在線攻擊。之后不到兩個星期,被 WireX 感染的 Android 設備數量已經多大數萬臺。《/p》《p》更令人擔憂的是,僵尸網絡的肇事者目前還控制著酒店行業中的幾個大型網站,他們給這些網站制造大量的垃圾請求,造成真正的訪問者無法訪問網站。《/p》《p》專家通過跟蹤攻擊事件很快就定位出了運行 WireX 的惡意軟件,它們《strong》分散在 《a href=“https://play.google.com/store?hl=en”》Google Play《/a》 里大約 300 種不同的移動應用中,包括視頻播放器、鈴聲或者文件管理器之類的簡單工具,常見的軟件名為 Network、FilterFile、StorageData、StorageDevice、Analysis。《/strong》《/p》《p》Google 在一份書面聲明中說:“我們確定了大約有 300 個與此問題相關的應用程序,我們將其從 Play Store 中屏蔽,并正在將其從所有受影響的設備中刪除。通過結合研究人員的發現和我們自己的分析,我們能夠更好地保護所有的 Android 用戶。”《/p》《p》為了避免被發現,應用商店中被感染的應用程序表面上執行其基本的功能。但這些應用程序還捆綁了一個將在后臺偷偷啟動的小程序,并導致受感染的移動設備秘密地連接到惡意軟件創建者使用的 Internet 服務器,從而控制整個被黑客攻擊的設備。受到感染的移動設備將被控制服務器的指令所控制,執行其指定的操作。《/p》《p》《/p》《center》《img src=“http://img.blog.csdn.net/20170904105347237” alt=“” title=“”》《/center》《p》《/p》《p》《/p》《center》《em》Google Play 中被 WireX 惡意軟件感染的應用程序樣本。《/em》《/center》《p》《/p》《p》專家指出目前還不清楚可能被 WireX 感染的 Android 設備的具體數量,原因是只有一小部分受感染的系統能夠在任何特定的時間攻擊目標。他們發現,《strong》關閉電源的設備不會受到攻擊,但是鎖屏設備仍然可以在后臺進行攻擊《/strong》。《/p》《p》Akamai 的高級工程師 Chad Seaman 說:“我們平臺的數據顯示有 13 到 16 萬(唯一的 Internet 地址)受到了攻擊”。 Akamai 是一家專門幫助企業避免大規模 DDoS 攻擊的公司(Akamai 在去年 Mirai 攻擊事件中保護了 KrebsOnSecurity 免受攻擊)。《/p》《p》發布同樣新聞稿的 Akamai 和其他參與對抗 WireX 的公司表示僵尸網絡感染了至少 7 萬個 Android 系統,但是 Seaman 說這個數字是比較保守的。《/p》《p》“七萬只是保守估計的數字,假設你正開車行駛在高速公路上,你的手機忙于攻擊一些網站,那么你的設備有可能在攻擊日志中顯示三四個甚至五個不同的互聯網地址。” Seaman 在接受 KrebsOnSecurity 采訪時說。“我們看到來自 100 多個國家受感染設備的攻擊,它幾乎無處不在。”《/p》《h2》基于 MIRAI《/h2》《p》來自 Akamai 和其他參與對抗 WireX 公司的安全專家表示,他們的此次合作基礎是源于去年 《a href=“https://krebsonsecurity.com/?s=mirai&x=0&y=0”》Mirai《/a》 制造的那場 DDoS 大規模攻擊事件,Mirai 攻擊那些缺乏安全性的“物聯網”(IoT)設備,如安全攝像頭、數字錄像機和互聯網路由器。《/p》《p》去年9月,第一個也是最大的 Mirai 僵尸網絡的巨大攻擊《a href=“https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/”》造成一些網站離線了好幾天《/a》。幾天之后 ,隨著 《a href=“https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/”》Mirai 源代碼《/a》在網上發布和使用,幾十個模仿 Mirai 的僵尸網絡也隨之出現。其中的幾個僵尸網絡用來對各種目標進行大規模的 DDoS 攻擊,導致許多互聯網巨頭的網站都無法訪問。《/p》《p》紐約的一家安全公司 《a href=“https://www.flashpoint-intel.com/”》Flashpoint《/a》 的安全研究總監 Allison Nixon 表示,Mirai 的攻擊事件給安全行業敲響了警鐘,我們需要呼吁更多合作來共同對抗非法攻擊。《/p》《p》Nixon 說:“當 Mirai DDoS 僵尸網絡開始出現并大規模攻擊互聯網的基礎設施,如果人們無法應對 DDoS 攻擊那么這將造成大面積的服務中斷。“攻擊事件會促成更多的企業合作。行業中的不同企業都開始關注此事,其中一部分人意識到必須及時需要處理這件事情,否則這樣的攻擊將會越來越大,越來越猖狂。“《/p》《p》Mirai 不僅攻擊力度很大,而且傳播速度很快。但是 Mirai 并不是特別復雜的攻擊平臺, WireX 則是。《/p》《h2》點擊欺詐《/h2》《p》據研究,WireX 僵尸網絡會執行分布式的“《a href=“https://en.wikipedia.org/wiki/Click_fraud”》點擊欺詐《/a》”,”網絡廣告欺詐的惡性形式,根據《a href=“https://www.cnbc.com/2017/03/15/businesses-could-lose-164-billion-to-online-advert-fraud-in-2017.html”》最新估算《/a》,這種在線廣告欺詐行為在今年將花費出版商和企業大約160億美元。多個防病毒工具目前檢測到 WireX 惡意軟件并認定其是點擊欺詐惡意軟件的變體。《/p》《p》研究人員認為,在某些時候,點擊欺詐僵尸網絡被重新利用來進行 DDoS 攻擊。雖然由 Android 設備提供的 DDoS 僵尸網絡非常少見,僵尸網絡偽裝成移動瀏覽器的常規互聯網流量,攻擊那些專注于保護公司免受大規模 DDoS 攻擊的公司。《/p》《p》DDoS 防御者通常依賴于開發定制的“過濾器”或“簽名”,可以幫助他們將 DDoS 攻擊流量與流向目標站點的合法 Web 瀏覽器流量區分開。但是專家認為,WireX 有能力使這一過程變得更加困難。《/p》《p》這是因為 WireX 包括自己所謂的“無頭” Web 瀏覽器,可以做一個真正的,用戶驅動的可以做的一切,除非沒有實際顯示瀏覽器給受感染系統的用戶。《/p》《p》此外,Wirex可以使用 SSL 加密攻擊流量 - Android 用戶需要提交敏感數據時為了保護瀏覽器會話的安全性會使用同樣的技術。這為攻擊流量增加了混淆,因為防御者需要傳入的數據包進行解密,然后才能判斷內部的流量是否匹配惡意攻擊流量簽名。防御者把 WireX 流量和合法的用戶訪問請求區分出來比平常更加困難并且耗費更多時間。《/p》《p》Akamai 的 Seaman 說:“想要減少這樣的攻擊是非常痛苦的過程,而這些攻擊所具備的高級功能使其充滿威脅性。《/p》《h2》無法隱瞞攻擊事件《/h2》《p》以往很多發現自己被 DDoS 攻擊的公司試圖對公眾隱瞞該事件 - 也許害怕客戶或用戶對自身系統安全性進行指責。《/p》《p》但是現在受到大型 DDoS 攻擊不再恥辱,Flashpoint 的 Nixon 說,如果沒有其他原因,受害者越來越難以向公眾隱藏攻擊事件。《/p》《p》“包括 Flashpoint 在內的多家公司都構建了監測第三方是否受到 DDoS 攻擊的能力。”Nixon 說。“即使我不在一家應對 DDoS 攻擊的公司工作,但是當第三方受到攻擊時,我們仍然可以知道。此外,網絡運營商和互聯網服務供應商不僅會監控自身的 DDoS 攻擊,其中一些公司還構建了能夠感知網絡 DDoS 流??量的能力。“《/p》《p》正如多個國家現在采用各種技術共同監管那些進行地下核武器試驗的國家一樣,眾多的組織都在積極檢測大規模的 DDoS 攻擊事件,Seaman 補充說。《/p》《p》“通過衛星和地震儀可以檢測核[爆炸]可以得到炸彈的大小和類型,但是無法立即得知誰是它的發起者,”他說。“只有當我們總結了許多這些報告時,我們才能更好地了解到底發生了什么。這是一個很好的例子,任何一個人都不會比一個團隊更聰明。“《/p》《p》WireX 行業聯盟指出,在 DDoS 攻擊下最明智的一步做法是與安全廠商交談,能夠共享與攻擊有關的詳細指標。《/p》《p》報告指出:“有了這些信息,防御者就能夠比其他方式更多地了解這些計劃。” “請求幫助并不恥辱,不僅沒有恥辱,在大多數情況下,你也無法隱藏自己處于 DDoS 攻擊的事實。一些研究機構有能力檢測全球范圍內針對第三方發生的 DDoS 攻擊事件,無論這些被攻擊者是否企圖隱藏該事件。保密并不會帶來好處。“《/p》《blockquote》 《p》原文:《a href=“http://krebsonsecurity.com/2017/08/tech-firms-team-up-to-take-down-wirex-android-ddos-botnet/”》Tech Firms Team Up to Take Down ‘WireX’ Android DDoS Botnet《/a》 《br》 翻譯:安翔 《br》 審校:蘇宓《/p》 《/blockquote》《p》《/p》《center》《img src=“http://img.blog.csdn.net/20170904105605393” alt=“” title=“”》《/center》《p》《/p》
非常好我支持^.^
(0) 0%
不好我反對
(0) 0%