Netlab的研究人员已经做到了发现一个新的僵尸网络重新使用Mirai框架将易受攻击的Android设备拉入其中分布式拒绝服务攻击。

这种新型的僵尸网络被称为Matryosh,因为它使用的加密算法和获取命令和控制(C2)的过程是分层嵌套的,所以以俄罗斯套娃的名字命名。僵尸网络支持DDoS攻击使用TCPRAW,ICMPECHO和UDPPLAIN攻击。

圣母玛利亚是如何传播的?

像之前的其他僵尸网络一样,Matryosh通过Android调试桥(ADB),使用端口5555的诊断和调试接口。虽然adb对开发人员具有正版使用,但面向互联网的adb也打开了远程攻击的方式。

不幸的是,一些供应商正在使用Port 5555开放的Android设备。这允许开发人员远程与设备通信,以便控制设备和执行命令,该命令通常用于诊断和调试目的。但它也创造了一个后门对于连接到此端口的任何其他攻击者。

Android调试桥

ADB是一个多功能的命令行工具,可以让您与Android设备通信,并促进各种设备操作,如安装和调试应用程序。它还提供了对shell的访问,您可以使用该shell在设备上运行各种命令。

尽管Android通常被认为是一种流行的手机操作系统,但它也被用作各种联网“东西”的操作系统,比如健身自行车和电视机。

为了使潜在的灾难完成,adb不需要身份验证,这意味着任何人都可以连接到运行adb以执行命令的设备。简而言之,使用adb启用,任何人都可以将其视为root设备。

马特里欧什是如何运作的?

Matryosh的特殊之处在于它使用加密的Tor网络来屏蔽恶意流量。当Matryosh在受感染的设备上运行时,它会解密远程主机名,并使用DNS TXT请求来获取TorC2服务器和代理的细节。之后,Matryosh使用这些细节通过Tor代理与C2服务器建立连接,以获取其命令。

要执行DDOS攻击,僵尸网络支持TCPRAW,ICMPECHO和UDPPLAIN攻击。这意味着它能够通过TCP,ICMP和UDP等协议启动DDOS攻击。

如何禁用ADB

虽然默认情况下,ADB在大多数Android智能手机和平板电脑上关闭,但有些供应商确实使用ADB启用其设备。

  • Android用户:很难提供适用于所有设备的明确说明,但一般来说,你需要禁用设备的“开发者选项”。在必威平台APPAndroid伪客户那里安全审核该特性指示是否启用了开发人员模式(ADB位于何处),但没有明确指出ADB是开启还是关闭。如果启用了Developer模式,审计将指出这一点,用户可以通过点击进入Developer模式开发模式在审计结果中,这将以黄色显示。禁用开发人员模式时,也应禁用ADB。
必威平台APPMalwarebytes用于Android安全审计
  • 企业应该扫描其内部和外部网络以获取端口5555,以查看是否有任何设备正在侦听该端口,这可能表明设备已打开以接收ADB命令。读读我们的博客也无妨DDoS攻击正在增长:企业能做什么?
  • 供应商需要停止发货通过网络启用Android调试桥的产品,特别是那些设计用于连接互联网的设备。

让你的设备远离僵尸网络!