研究人員警告說，這個新的僵尸網絡通過使用Mirai惡意軟件框架，以大量的Android設備為目標發起分布式拒絕服務(DDoS)攻擊。

研究人員表示，由于該僵尸網絡的許多功能都是層層 "嵌套 "的，因此被稱為Matryosh(以Matryoshka俄羅斯嵌套娃娃的名字命名)。該僵尸網絡通過Android調試橋(ADB)接口進行傳播。ADB是谷歌Android軟件開發工具包(SDK)中包含的一個實用的命令行程序。它允許開發人員與設備進行遠程通信，執行命令并完全控制設備。

[[382167]]

另外值得注意的是，Matryosh使用Tor網絡來隱蔽其惡意活動的痕跡，防止作案的服務器被攻陷。

360 Netlab的研究人員在本周表示："攻擊手段在網絡通信層面上的變化表明，僵尸網絡的幕后操縱者希望實現一種對C2的保護機制。這樣做會給靜態分析或IOC模擬器帶來一些困難。"

安卓調試橋被用于僵尸網絡的傳播

ADB在安卓手機上的使用是完全未經認證的。但是為了利用它，攻擊者需要首先啟用設備上的調試橋。然而，許多廠商在出廠時就已經啟用了Android調試橋。

這意味著該功能在端口5555上監聽，并使任何人都可以通過互聯網來與受影響的設備進行連接。研究人員沒有說明哪些廠商在其Android設備中默認開啟該功能。安卓設備包括智能手機，電視機等在內的多種設備。

安全研究人員Kevin Beaumont曾撰文介紹ADB:"這是個非常嚴重的漏洞，因為它允許任何人在沒有任何密碼的情況下，以'root'管理員的身份來遠程訪問這些設備，然后默默地安裝軟件并進行惡意攻擊"。除了Matryosh之外，許多僵尸網絡都利用了這個漏洞，比如ADB.Miner。

Matryosh：Mirai僵尸網絡的變種

1月25日，研究人員在一個可疑的ELF文件中首次發現了Matryosh。反病毒軟件檢測器識別該文件為Mirai(這是因為Matryosh使用了Mirai的框架);但研究人員仔細檢查后發現，該文件的網絡流量與Mirai的特征嚴重不符。

Mirai是一個臭名昭著的僵尸網絡，最廣為人知的是它在2016年對DNS提供商Dyn發動了大規模的DDoS攻擊，該攻擊導致美國東海岸的互聯網服務癱瘓，同時也癱瘓了許多流行的軟件服務(如Netflix)。

2016年，Mirai作者對外公布了它的源代碼，這使得其他惡意攻擊者更容易做出自己的Mirai惡意軟件變種。

Matryosh僵尸網絡中的新功能

研究人員指出，Matryosh的加密設計 "具有一定的新穎性"，但仍屬于Mirai的單字節XOR模式。他們表示，這是該僵尸網絡的一個缺點，因為它很容易被反病毒軟件系統識別為Mirai。

研究人員指出，除此之外，該僵尸網絡沒有集成掃描模塊或漏洞利用模塊。

該僵尸網絡的一大特點是它使用了Tor代理工具，它通過DNS TXT記錄(一種在DNS服務器上存儲文本注釋的記錄)來從遠程主機上獲取服務。

研究人員說："Matryosh的功能相對簡單，當它在被感染的設備上運行時，它會以進程重命名的方式來迷惑用戶。然后它會解析遠程主機名，并使用DNS TXT請求來獲得TOR C2和TOR代理"。

在與TOR代理建立連接后，僵尸網絡通過代理與TOR C2進行通信，并等待C2發送待執行的命令。

誰是Matryosh僵尸網絡的幕后黑手?

研究人員推測，Moobot集團是Matryosh的幕后黑手。Moobot是一個最近出現的基于Mirai網絡的僵尸網絡家族，其攻擊目標是物聯網(IoT)設備。

研究人員之所以得出這些結論，是因為Matryosh與Moobot最新的LeetHozer僵尸網絡分支有幾個相似之處。例如，它們都使用了類似TOR C2的模型，而且它們的C2端口(31337)和攻擊方法名稱也相同，C2的命令格式也 "非常相似"。

Matryosh只是最近出現的眾多僵尸網絡家族之一，在過去的幾年中，出現了包括Kaiji、Dark_Nexus、MootBot和DDG在內的多個僵尸網絡。

本文翻譯自：https://threatpost.com/android-devices-prone-to-botnets-ddos-onslaught/163680/