《p》近日，六家科技和安全公司（其中一些是競(jìng)爭(zhēng)對(duì)手）分別發(fā)布了幾乎一樣的稿件（《a href=“https://www.flashpoint-intel.com/blog/wirex-botnet-industry-collaboration/”》Flashpoint《/a》， 《a href=“https://blogs.akamai.com/2017/08/the-wirex-botnet-an-example-of-cross-organizational-cooperation.html”》Akamai《/a》， 《a href=“https://blog.cloudflare.com/the-wirex-botnet/”》Cloudflare《/a》， 《a href=“https://www.riskiq.com/blog/labs/wirex-botnet/”》RiskIQ《/a》）。這種少見的跨行業(yè)合作目的是共同對(duì)抗一種名為 “《strong》WireX《/strong》” 的網(wǎng)絡(luò)攻擊。WireX 在本月發(fā)起了一系列的大規(guī)模網(wǎng)絡(luò)攻擊，它是無數(shù) Android 手機(jī)被黑的罪魁禍?zhǔn)住！?p》《p》參與對(duì)抗的專家警告說，WireX 是新一類攻擊工具的代表，想要摧毀這些攻擊工具比以往更加艱難，因此需要更多的同行共同努力聯(lián)合對(duì)抗。《/p》《p》《/p》《center》《img src=“http://img.blog.csdn.net/20170904105126317” alt=“” title=“”》《/center》《p》《/p》《p》《/p》《center》《em》該圖顯示了2017年8月前三周 WireX 僵尸網(wǎng)絡(luò)的快速增長(zhǎng)。《/em》《/center》《p》《/p》《p》WireX 最早出現(xiàn)在 2017 年 8 月 2 日，當(dāng)時(shí)發(fā)現(xiàn)有少數(shù)的 Android 設(shè)備受到黑客的在線攻擊。之后不到兩個(gè)星期，被 WireX 感染的 Android 設(shè)備數(shù)量已經(jīng)多大數(shù)萬臺(tái)?！?p》《p》更令人擔(dān)憂的是，僵尸網(wǎng)絡(luò)的肇事者目前還控制著酒店行業(yè)中的幾個(gè)大型網(wǎng)站，他們給這些網(wǎng)站制造大量的垃圾請(qǐng)求，造成真正的訪問者無法訪問網(wǎng)站。《/p》《p》專家通過跟蹤攻擊事件很快就定位出了運(yùn)行 WireX 的惡意軟件，它們《strong》分散在 《a href=“https://play.google.com/store？hl=en”》Google Play《/a》 里大約 300 種不同的移動(dòng)應(yīng)用中，包括視頻播放器、鈴聲或者文件管理器之類的簡(jiǎn)單工具，常見的軟件名為 Network、FilterFile、StorageData、StorageDevice、Analysis?！?strong》《/p》《p》Google 在一份書面聲明中說：“我們確定了大約有 300 個(gè)與此問題相關(guān)的應(yīng)用程序，我們將其從 Play Store 中屏蔽，并正在將其從所有受影響的設(shè)備中刪除。通過結(jié)合研究人員的發(fā)現(xiàn)和我們自己的分析，我們能夠更好地保護(hù)所有的 Android 用戶?！薄?p》《p》為了避免被發(fā)現(xiàn)，應(yīng)用商店中被感染的應(yīng)用程序表面上執(zhí)行其基本的功能。但這些應(yīng)用程序還捆綁了一個(gè)將在后臺(tái)偷偷啟動(dòng)的小程序，并導(dǎo)致受感染的移動(dòng)設(shè)備秘密地連接到惡意軟件創(chuàng)建者使用的 Internet 服務(wù)器，從而控制整個(gè)被黑客攻擊的設(shè)備。受到感染的移動(dòng)設(shè)備將被控制服務(wù)器的指令所控制，執(zhí)行其指定的操作?！?p》《p》《/p》《center》《img src=“http://img.blog.csdn.net/20170904105347237” alt=“” title=“”》《/center》《p》《/p》《p》《/p》《center》《em》Google Play 中被 WireX 惡意軟件感染的應(yīng)用程序樣本?！?em》《/center》《p》《/p》《p》專家指出目前還不清楚可能被 WireX 感染的 Android 設(shè)備的具體數(shù)量，原因是只有一小部分受感染的系統(tǒng)能夠在任何特定的時(shí)間攻擊目標(biāo)。他們發(fā)現(xiàn)，《strong》關(guān)閉電源的設(shè)備不會(huì)受到攻擊，但是鎖屏設(shè)備仍然可以在后臺(tái)進(jìn)行攻擊《/strong》?！?p》《p》Akamai 的高級(jí)工程師 Chad Seaman 說：“我們平臺(tái)的數(shù)據(jù)顯示有 13 到 16 萬（唯一的 Internet 地址）受到了攻擊”。 Akamai 是一家專門幫助企業(yè)避免大規(guī)模 DDoS 攻擊的公司（Akamai 在去年 Mirai 攻擊事件中保護(hù)了 KrebsOnSecurity 免受攻擊）。《/p》《p》發(fā)布同樣新聞稿的 Akamai 和其他參與對(duì)抗 WireX 的公司表示僵尸網(wǎng)絡(luò)感染了至少 7 萬個(gè) Android 系統(tǒng)，但是 Seaman 說這個(gè)數(shù)字是比較保守的?！?p》《p》“七萬只是保守估計(jì)的數(shù)字，假設(shè)你正開車行駛在高速公路上，你的手機(jī)忙于攻擊一些網(wǎng)站，那么你的設(shè)備有可能在攻擊日志中顯示三四個(gè)甚至五個(gè)不同的互聯(lián)網(wǎng)地址?！?Seaman 在接受 KrebsOnSecurity 采訪時(shí)說?！拔覀兛吹絹碜?100 多個(gè)國(guó)家受感染設(shè)備的攻擊，它幾乎無處不在。”《/p》《h2》基于 MIRAI《/h2》《p》來自 Akamai 和其他參與對(duì)抗 WireX 公司的安全專家表示，他們的此次合作基礎(chǔ)是源于去年 《a href=“https://krebsonsecurity.com/？s=mirai&x=0&y=0”》Mirai《/a》 制造的那場(chǎng) DDoS 大規(guī)模攻擊事件，Mirai 攻擊那些缺乏安全性的“物聯(lián)網(wǎng)”（IoT）設(shè)備，如安全攝像頭、數(shù)字錄像機(jī)和互聯(lián)網(wǎng)路由器。《/p》《p》去年9月，第一個(gè)也是最大的 Mirai 僵尸網(wǎng)絡(luò)的巨大攻擊《a href=“https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/”》造成一些網(wǎng)站離線了好幾天《/a》。幾天之后 ，隨著 《a href=“https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/”》Mirai 源代碼《/a》在網(wǎng)上發(fā)布和使用，幾十個(gè)模仿 Mirai 的僵尸網(wǎng)絡(luò)也隨之出現(xiàn)。其中的幾個(gè)僵尸網(wǎng)絡(luò)用來對(duì)各種目標(biāo)進(jìn)行大規(guī)模的 DDoS 攻擊，導(dǎo)致許多互聯(lián)網(wǎng)巨頭的網(wǎng)站都無法訪問?！?p》《p》紐約的一家安全公司 《a href=“https://www.flashpoint-intel.com/”》Flashpoint《/a》 的安全研究總監(jiān) Allison Nixon 表示，Mirai 的攻擊事件給安全行業(yè)敲響了警鐘，我們需要呼吁更多合作來共同對(duì)抗非法攻擊?！?p》《p》Nixon 說：“當(dāng) Mirai DDoS 僵尸網(wǎng)絡(luò)開始出現(xiàn)并大規(guī)模攻擊互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施，如果人們無法應(yīng)對(duì) DDoS 攻擊那么這將造成大面積的服務(wù)中斷?！肮羰录?huì)促成更多的企業(yè)合作。行業(yè)中的不同企業(yè)都開始關(guān)注此事，其中一部分人意識(shí)到必須及時(shí)需要處理這件事情，否則這樣的攻擊將會(huì)越來越大，越來越猖狂?！啊?p》《p》Mirai 不僅攻擊力度很大，而且傳播速度很快。但是 Mirai 并不是特別復(fù)雜的攻擊平臺(tái)， WireX 則是?！?p》《h2》點(diǎn)擊欺詐《/h2》《p》據(jù)研究，WireX 僵尸網(wǎng)絡(luò)會(huì)執(zhí)行分布式的“《a href=“https://en.wikipedia.org/wiki/Click_fraud”》點(diǎn)擊欺詐《/a》”，”網(wǎng)絡(luò)廣告欺詐的惡性形式，根據(jù)《a href=“https://www.cnbc.com/2017/03/15/businesses-could-lose-164-billion-to-online-advert-fraud-in-2017.html”》最新估算《/a》，這種在線廣告欺詐行為在今年將花費(fèi)出版商和企業(yè)大約160億美元。多個(gè)防病毒工具目前檢測(cè)到 WireX 惡意軟件并認(rèn)定其是點(diǎn)擊欺詐惡意軟件的變體?！?p》《p》研究人員認(rèn)為，在某些時(shí)候，點(diǎn)擊欺詐僵尸網(wǎng)絡(luò)被重新利用來進(jìn)行 DDoS 攻擊。雖然由 Android 設(shè)備提供的 DDoS 僵尸網(wǎng)絡(luò)非常少見，僵尸網(wǎng)絡(luò)偽裝成移動(dòng)瀏覽器的常規(guī)互聯(lián)網(wǎng)流量，攻擊那些專注于保護(hù)公司免受大規(guī)模 DDoS 攻擊的公司?！?p》《p》DDoS 防御者通常依賴于開發(fā)定制的“過濾器”或“簽名”，可以幫助他們將 DDoS 攻擊流量與流向目標(biāo)站點(diǎn)的合法 Web 瀏覽器流量區(qū)分開。但是專家認(rèn)為，WireX 有能力使這一過程變得更加困難?！?p》《p》這是因?yàn)?WireX 包括自己所謂的“無頭” Web 瀏覽器，可以做一個(gè)真正的，用戶驅(qū)動(dòng)的可以做的一切，除非沒有實(shí)際顯示瀏覽器給受感染系統(tǒng)的用戶。《/p》《p》此外，Wirex可以使用 SSL 加密攻擊流量 - Android 用戶需要提交敏感數(shù)據(jù)時(shí)為了保護(hù)瀏覽器會(huì)話的安全性會(huì)使用同樣的技術(shù)。這為攻擊流量增加了混淆，因?yàn)榉烙咝枰獋魅氲臄?shù)據(jù)包進(jìn)行解密，然后才能判斷內(nèi)部的流量是否匹配惡意攻擊流量簽名。防御者把 WireX 流量和合法的用戶訪問請(qǐng)求區(qū)分出來比平常更加困難并且耗費(fèi)更多時(shí)間。《/p》《p》Akamai 的 Seaman 說：“想要減少這樣的攻擊是非常痛苦的過程，而這些攻擊所具備的高級(jí)功能使其充滿威脅性。《/p》《h2》無法隱瞞攻擊事件《/h2》《p》以往很多發(fā)現(xiàn)自己被 DDoS 攻擊的公司試圖對(duì)公眾隱瞞該事件 - 也許害怕客戶或用戶對(duì)自身系統(tǒng)安全性進(jìn)行指責(zé)?！?p》《p》但是現(xiàn)在受到大型 DDoS 攻擊不再恥辱，F(xiàn)lashpoint 的 Nixon 說，如果沒有其他原因，受害者越來越難以向公眾隱藏攻擊事件。《/p》《p》“包括 Flashpoint 在內(nèi)的多家公司都構(gòu)建了監(jiān)測(cè)第三方是否受到 DDoS 攻擊的能力?！盢ixon 說?！凹词刮也辉谝患覒?yīng)對(duì) DDoS 攻擊的公司工作，但是當(dāng)?shù)谌绞艿焦魰r(shí)，我們?nèi)匀豢梢灾馈４送?，網(wǎng)絡(luò)運(yùn)營(yíng)商和互聯(lián)網(wǎng)服務(wù)供應(yīng)商不僅會(huì)監(jiān)控自身的 DDoS 攻擊，其中一些公司還構(gòu)建了能夠感知網(wǎng)絡(luò) DDoS 流??量的能力。“《/p》《p》正如多個(gè)國(guó)家現(xiàn)在采用各種技術(shù)共同監(jiān)管那些進(jìn)行地下核武器試驗(yàn)的國(guó)家一樣，眾多的組織都在積極檢測(cè)大規(guī)模的 DDoS 攻擊事件，Seaman 補(bǔ)充說?！?p》《p》“通過衛(wèi)星和地震儀可以檢測(cè)核［爆炸］可以得到炸彈的大小和類型，但是無法立即得知誰是它的發(fā)起者，”他說?！爸挥挟?dāng)我們總結(jié)了許多這些報(bào)告時(shí)，我們才能更好地了解到底發(fā)生了什么。這是一個(gè)很好的例子，任何一個(gè)人都不會(huì)比一個(gè)團(tuán)隊(duì)更聰明?！啊?p》《p》WireX 行業(yè)聯(lián)盟指出，在 DDoS 攻擊下最明智的一步做法是與安全廠商交談，能夠共享與攻擊有關(guān)的詳細(xì)指標(biāo)。《/p》《p》報(bào)告指出：“有了這些信息，防御者就能夠比其他方式更多地了解這些計(jì)劃。” “請(qǐng)求幫助并不恥辱，不僅沒有恥辱，在大多數(shù)情況下，你也無法隱藏自己處于 DDoS 攻擊的事實(shí)。一些研究機(jī)構(gòu)有能力檢測(cè)全球范圍內(nèi)針對(duì)第三方發(fā)生的 DDoS 攻擊事件，無論這些被攻擊者是否企圖隱藏該事件。保密并不會(huì)帶來好處?！啊?p》《blockquote》 《p》原文：《a href=“http://krebsonsecurity.com/2017/08/tech-firms-team-up-to-take-down-wirex-android-ddos-botnet/”》Tech Firms Team Up to Take Down ‘WireX’ Android DDoS Botnet《/a》 《br》 翻譯：安翔 《br》 審校：蘇宓《/p》 《/blockquote》《p》《/p》《center》《img src=“http://img.blog.csdn.net/20170904105605393” alt=“” title=“”》《/center》《p》《/p》