你相信只要从官方应用商店下载一个 App 就能保护自己免受恶意软件攻击吗?
你要是信了,就得好好想想了。
来自 Akamai、Cloudflare,、Flashpoint、谷歌、Oracle Dyn、RiskIQ、Team Cymru 等公司研究员组成的安全团队发现了一种新的僵尸网络 WireX。WireX 包含数万台 Android 手机僵尸,大肆进行 DDoS 攻击。WireX 最早在 8 月初出现,利用第三方商店、甚至谷歌官方 Play Store 中感染了恶意程序的 App 进行传播,主要感染 Android 设备。由于充分的信息共享和深入的合作研究,联合安全团队迅速检测出 WireX 详细机制并进行了有效阻击。
大规模 DDoS 攻击引起警惕
有证据表明,攻击者自 7 月中旬就已经开始集结僵尸网络,最初发动的是小规模 DDoS 攻击。但是直到 8 月 17 日攻击者利用 WireX 发起更大规模的 DDoS 攻击后,研究人员才真正注意到 WireX 并开始研究。研究发现,这一波 DDoS 攻击力度很大,超过 100 个国家的 7 万台设备参与了此次攻击,导致大量服务和设备遭入侵。一些攻击甚至还引起了执法部门的注意,因为攻击者借此向目标组织发送了勒索信息。
通过研究分析搜集到的数据,可以发现,在 8 月中旬,这个僵尸网络就已经能利用超过 12 万个不同 IP 地址的僵尸发起 DDoS 攻击,这算是 WireX 的感染峰值。
调查发现,WireX 可以发动第七层也就是应用层的 DDoS 攻击,虽然这不会阻塞服务器,但是会消耗服务器内存资源,导致在线服务崩溃。目前,一些杀毒软件将感染了 WireX 的 App 标注为“Android Clicker”。因为,WireX 还有点击欺诈功能,在感染的初始阶段就能发挥作用,然后开始 DDoS 攻击。
研究人员表示,在 8 月 17 日的大规模 DDoS 攻击中,WireX 主要利用了类似 web 浏览器流量的 user-agent 字符串,针对目标服务器发动 HTTP GET 和 POST 请求。这些字符串由英文小写字母随机组合而成。
因为多个安全公司联手并共享信息,因此可以迅速检测出所有的僵尸。调查发现,谷歌应用商店中,超过 300 款 App 包含恶意 WireX 代码,App 类别涵盖媒体、视频播放器、铃声、存储管理工具等。这些 App 安装后不会立即表现出恶意属性,以此躲避检测。这些 App 使用一切正常,但是会隐藏恶意进程,而隐藏的恶意程序则会等待 “axclick.store” C&C 服务器下发指令。下载这些 App 的用户主要位于俄罗斯、中国和其他亚洲国家。
应对与建议
谷歌目前已经将这些 App 从 Play Store 下架,而且如果用户手机已经包含 Play Protect 特性,则会自动移除含有 WireX 的应用。Play Protect 是谷歌新发布的一项安全方案,主要利用机器学习和 App 利用分析来移除(卸载)Android 手机中的恶意 App,防止用户遭到进一步入侵。
不过,此事也暴露了谷歌另一个机器学习方案 Bouncer 的不足,Bouncer 本来是用于检测并阻止 Play Store 中带有恶意程序的软件。但其实有很多恶意程序能逃过 Bouncer 的检测,还有人利用 Bouncer 系统检测恶意 APP 以进行改进,逃过杀软的检测。
因此,建议用户就算在谷歌 Play Store 下载 App,也要选择可靠、经过认证的开发商,不要安装不必要的 App。同时,要在手机中安装可靠的反病毒 App,以便及时检测并阻止恶意 App;注意将所有 App 更新到最新版本。
多方联手,共同打造互联网安全防御新生态
针对用于 DDoS 攻击或财务诈骗的大规模僵尸网络,以前也有很多方案,但是一直以来,僵尸网络仍然屹立不倒。而因此这一次,这些本是竞争对手的公司难得再次联手,共同研究并阻击 WireX。
与常规意义的攻击防御相比,这次的应对更有意义。因为安全行业和执法机构(主要是 FBI)联合追踪并“抓捕” C2 服务器。与防御和打击相比,这个过程中的合作对整个行业意义更重大。研究人员的合作研究促成了迅速高效的阻击,事后谷歌也很快将恶意 APP 下架并移除,而执法机构则处理那些构成犯罪的内容。