一个Android僵尸ddos网络的败退：网络安全行业合作的成功典范

你相信只要从官方应用商店下载一个 App 就能保护自己免受恶意软件攻击吗？
你要是信了，就得好好想想了。
来自 Akamai、Cloudflare,、Flashpoint、谷歌、Oracle Dyn、RiskIQ、Team Cymru 等公司研究员组成的安全团队发现了一种新的僵尸网络 WireX。WireX 包含数万台 Android 手机僵尸，大肆进行 DDoS 攻击。WireX 最早在 8 月初出现，利用第三方商店、甚至谷歌官方 Play Store 中感染了恶意程序的 App 进行传播，主要感染 Android 设备。由于充分的信息共享和深入的合作研究，联合安全团队迅速检测出 WireX 详细机制并进行了有效阻击。

大规模 DDoS 攻击引起警惕
有证据表明，攻击者自 7 月中旬就已经开始集结僵尸网络，最初发动的是小规模 DDoS 攻击。但是直到 8 月 17 日攻击者利用 WireX 发起更大规模的 DDoS 攻击后，研究人员才真正注意到 WireX 并开始研究。研究发现，这一波 DDoS 攻击力度很大，超过 100 个国家的 7 万台设备参与了此次攻击，导致大量服务和设备遭入侵。一些攻击甚至还引起了执法部门的注意，因为攻击者借此向目标组织发送了勒索信息。
通过研究分析搜集到的数据，可以发现，在 8 月中旬，这个僵尸网络就已经能利用超过 12 万个不同 IP 地址的僵尸发起 DDoS 攻击，这算是 WireX 的感染峰值。

调查发现，WireX 可以发动第七层也就是应用层的 DDoS 攻击，虽然这不会阻塞服务器，但是会消耗服务器内存资源，导致在线服务崩溃。目前，一些杀毒软件将感染了 WireX 的 App 标注为“Android Clicker”。因为，WireX 还有点击欺诈功能，在感染的初始阶段就能发挥作用，然后开始 DDoS 攻击。
研究人员表示，在 8 月 17 日的大规模 DDoS 攻击中，WireX 主要利用了类似 web 浏览器流量的 user-agent 字符串，针对目标服务器发动 HTTP GET 和 POST 请求。这些字符串由英文小写字母随机组合而成。

因为多个安全公司联手并共享信息，因此可以迅速检测出所有的僵尸。调查发现，谷歌应用商店中，超过 300 款 App 包含恶意 WireX 代码，App 类别涵盖媒体、视频播放器、铃声、存储管理工具等。这些 App 安装后不会立即表现出恶意属性，以此躲避检测。这些 App 使用一切正常，但是会隐藏恶意进程，而隐藏的恶意程序则会等待 “axclick.store” C&C 服务器下发指令。下载这些 App 的用户主要位于俄罗斯、中国和其他亚洲国家。
应对与建议
谷歌目前已经将这些 App 从 Play Store 下架，而且如果用户手机已经包含 Play Protect 特性，则会自动移除含有 WireX 的应用。Play Protect 是谷歌新发布的一项安全方案，主要利用机器学习和 App 利用分析来移除（卸载）Android 手机中的恶意 App，防止用户遭到进一步入侵。

不过，此事也暴露了谷歌另一个机器学习方案 Bouncer 的不足，Bouncer 本来是用于检测并阻止 Play Store 中带有恶意程序的软件。但其实有很多恶意程序能逃过 Bouncer 的检测，还有人利用 Bouncer 系统检测恶意 APP 以进行改进，逃过杀软的检测。
因此，建议用户就算在谷歌 Play Store 下载 App，也要选择可靠、经过认证的开发商，不要安装不必要的 App。同时，要在手机中安装可靠的反病毒 App，以便及时检测并阻止恶意 App；注意将所有 App 更新到最新版本。
多方联手，共同打造互联网安全防御新生态
针对用于 DDoS 攻击或财务诈骗的大规模僵尸网络，以前也有很多方案，但是一直以来，僵尸网络仍然屹立不倒。而因此这一次，这些本是竞争对手的公司难得再次联手，共同研究并阻击 WireX。
与常规意义的攻击防御相比，这次的应对更有意义。因为安全行业和执法机构（主要是 FBI）联合追踪并“抓捕” C2 服务器。与防御和打击相比，这个过程中的合作对整个行业意义更重大。研究人员的合作研究促成了迅速高效的阻击，事后谷歌也很快将恶意 APP 下架并移除，而执法机构则处理那些构成犯罪的内容。

Akamai 高级网络架构师及安全研究员 Jared Mauch：
在这个案例中，我们共享了信息，因此能在短时间内全面研究出这个恶意程序的详情。
Cloudflare 联合创始人兼 CEO Matthew Prince：
我为他们感到骄傲，他们合作展开调查，迅速消除了危机。
Akamai 的高级安全架构师 Tim April 表示：
为了保护互联网和客户安全，这些研究人员之前也一直就小的攻击事件或匿名信息分享而合作过。
这些安全事件最开始都很相似，但由于大家能够分享研究成果，得出结论、作出响应就比平常更快。我们选择在这个时机共同发布研究结果，就是为了强调不同公司之间合作的重要性，并确保所有研究综合在一起，让事件分析更完整。
Cloudflare 机密与安全部门主管 Justin Paine 表示：
在 Mirai 衍生出的大规模攻击之初，就有非正式的联合安全团队成立。在 Mirai 之后的攻击中（如 WannaCry、NotPetya 等），这些合作的研究人员也起到了重大作用。
Flashpoint 的安全研究主管 Allison Nixon 表示：
联合团队的贡献之前几乎鲜有报道。但是，对于一些大型僵尸网络的悄然消失，这种团队功不可没。他们示范了业内合作带来的高效成果。这次发布的不仅是一份合作研究成果，他们能将一个个受害者与攻击者联系起来，并利用已有情报更好地阻止攻击。他们靠自发意识和彼此信任走过了多年。如果不是团队中的研究人员，我觉得互联网可能没法像现在这么安全强大。
当人们谈论“网络安全信息分享”时，他们所期望的，应该是这种联合团队所呈现的合作模式。
联合团队的研究人员也表示，希望此次成功能成为一个典范，促成互联网安全行业更多业内合作，共同应对威胁和攻击。
信息分享对于受害者和整个互联网都能起到积极作用，这份联合报告就是一个很好的案例。跨组织合作对于互联网威胁防御而言非常重要，如果不进行合作防御，攻击者就会为所欲为。