一个名为“金狼”的全新巨型僵尸网络,其流量曾短暂超越谷歌,登上全球最热门网站榜首。研究人员警告,这个已控制约180万台安卓设备且仍在扩张的僵尸网络,有能力发动前所未有的网络攻击。
根据Cloudflare的数据,10月30日,一个奇怪的域名 14emeliaterracewestroxburyma02132[.]su 曾超越谷歌成为全球最受欢迎的网站。调查发现,这实际上是该僵尸网络用于协调数百万IP地址进行恶意活动的命令与控制服务器。
Xlab随后的调查揭露了这个被研究人员称为“金狼”的、“史上最疯狂”的僵尸网络。其规模已与迄今已知的最大僵尸网络“爱刷”相当甚至超越,而两者实际上共享部分代码库。研究人员通过抢先注册其中一个C2域名得以一窥其内部运作。在三天内,Xlab观测到了270万个不同的源IP地址。仅在12月4日一天,该僵尸网络就有183万个活跃IP地址。
Xlab保守估计,“金狼”由约180万台安卓设备组成,主要感染对象是部署在家庭网络中的电视盒子等安卓设备。这些设备很可能未经谷歌认证,因此缺乏Google Play保护。
获取的样本显示,“金狼”功能强大,除典型的DDoS攻击能力外,还集成了代理转发功能,使攻击者能隐藏真实位置并绕过基于IP的地理限制或黑名单。该恶意软件包含反向Shell,让攻击者能对受感染设备进行命令行访问,从而运行任意命令或部署额外恶意软件。此外,它还具备文件管理功能,能在设备间上传、下载和修改文件。
研究人员惊讶地发现,“金狼”与“爱刷”僵尸网络有关联,推测攻击者在早期阶段直接复用了“爱刷”的代码。但由于“爱刷”在安全产品中检测率较高,攻击者很可能因此重新设计了其隐匿和反检测能力。“金狼”使用了加密技术,并近期引入了利用区块链隐藏或动态获取恶意基础设施信息的“以太隐藏”技术。
该僵尸网络永不眠,受感染设备广泛分布于222个国家和地区的多个时区。按IP来源地统计,巴西约占14%,印度占12.71%,美国占9.58%,阿根廷占7.19%,南非占3.85%,菲律宾占3.58%,墨西哥占3.07%,中国占3.04%。
尽管无法直接测量,但通过观察两次大规模DDoS事件并与“爱刷”横向比较,研究人员认为“金狼”的攻击能力接近30Tbps。而当前的DDoS记录保持者“爱刷”单次攻击的最大吞吐量为29.7 Tbps。Xlab研究人员审查数据后确认“金狼”参与了攻击,并指出许多被归因于“爱刷”的攻击背后,可能并非其单独行动,“金狼”也参与其中,甚至可能是由“金狼”主导。这两个大型僵尸网络在9月至11月期间通过相同的感染脚本传播,共存于同一批设备中,实际上属于同一黑客组织。
尽管参与DDoS攻击,但发送给“金狼”僵尸网络的命令中,96.5%与提供代理服务相关。
对安全记者的“执念”
“金狼”的运营者似乎有报复心理。他们甚至在Xlab研究人员调查期间发动了DDoS反制攻击,并在攻击载荷中嵌入针对中国人的攻击性信息。其他样本中还包含了硬编码的种族歧视言论、将金正恩称为最高领导人的政治观点、玩笑话,以及对知名安全记者布莱恩·克雷布斯的嘲讽。
Xlab指出,“金狼”经常在DDoS攻击载荷中包含各种嘲讽、挑衅甚至勒索信息。调查发现,“金狼”的作者对布莱恩·克雷布斯表现出近乎“偏执”的关注,在多个样本中留下了与其相关的“彩蛋”。连研究人员接管的域名中都包含了克雷布斯的名字。网络犯罪分子此前曾试图对其博客发动大规模DDoS攻击,但未成功。
打击行动进行中
Xlab接管攻击者C2服务器的行动似乎引发了后续ISP层面干预的“连锁反应”。其他第三方也处置了相关基础设施并停止了DNS解析。运营者被迫紧急升级C2基础设施,导致每日活跃僵尸设备数锐减至约20万台。然而,12月12日,“金狼”再次升级了基础设施,并傲慢地宣称:“我们有成百上千台服务器在持续尝试,哈哈!”
Xlab研究人员敦促制造商改进整个供应链中安卓电视设备的安全性。用户应避免使用未经认证的低价杂牌安卓设备,设置强密码,及时应用固件更新,并避免下载来源不明的应用程序。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容