2017年10月更新：Cyberwire Research周六播客：介绍2017年8月17日，多个内容交付网络（CDN）和内容提供商受到名为WireX的僵尸网络的严重攻击。僵尸网络是以其命令和控制协议中的一个分隔符字符串的转换图命名的。WireX僵尸网络主要由运行恶意应用程序的Android设备组成，旨在创建DDoS流量。僵尸网络有时与发送给目标的赎金通知有关。几天前，谷歌接到警告说，这个恶意软件在其Play商店中可用。通知发出后不久，谷歌删除了数百个受影响的应用程序，并开始从所有设备中删除这些应用程序。来自Akamai、Cloudflare、Flashpoint、Google、Oracle Dyn、RiskIQ、Cymru团队和其他组织的研究人员合作打击这种僵尸网络。有证据表明，僵尸网络可能早在8月2日就已经活跃起来，但正是8月17日的攻击引起了这些组织的注意。这篇文章代表了研究人员的知识和努力的结合，他们致力于分享僵尸网络的信息，这是为了整个互联网社区的最大利益。这篇博文由众多组织的研究人员共同撰写，由Akamai、Cloudflare、Flashpoint和RiskIQ同时发布。攻击细节WireX僵尸网络的第一批可用指标出现在8月2日，当时这些攻击都没有引起注意。直到研究人员开始在日志中搜索26个字符的用户代理字符串，它才被发现。这些最初的攻击很小，表明恶意软件正在开发或处于部署的早期阶段。从8月15日开始，已经发现了更多的长期攻击，一些事件源于至少70000个并发IP地址，如图1所示。WireX是应用层的一种容量DDoS攻击。攻击节点生成的流量主要是httpget请求，尽管有些变体似乎能够发出POST请求。换句话说，僵尸网络产生的流量类似于来自普通HTTP客户端和web浏览器的有效请求。图1：根据观察到的每小时参与攻击的唯一IP数量，估计僵尸网络的增长。在最初的观察中，来自这个僵尸网络的大部分流量是通过使用一个HTTP请求的用户代理字符串来区分的，该字符串包含小写的英文字母表字符，按随机顺序排列。看到的一些用户代理值：用户代理：jigpuzbcomkenhvladtwysqfxr用户代理：yudjmikcvzoqwsbflghtxpanre用户代理：mckvhaflwzbderiysoguxnqtpj用户代理：deogjvtynmcxzwfsbahirukqpl用户代理：fdmjczoeyarnuqkbgtlivshwp用户代理：yczfxlrenuqtwmavhojpigkdsb用户代理：dnlseufokcgvmajqzpbtrwyxih此外，还观察到该恶意软件的变种会发出长度不等的用户代理字符串和扩展的字符集，有时还包括常见的浏览器用户代理。以下是观察到的其他用户代理的一些示例：用户代理：xlw2ibhqg0i用户代理：bg5pdrxhka2sjr1g用户代理：5Z5Z39IIT9DAMIT5ZRXF655OK060D544YTVX25G19HCG18JPO8VK3Q用户代理：fge26sd5e1vnyp3bdmc6ie0用户代理：m8al87qi9z5cqlwc8mb7ug85g47u用户代理：Mozilla/5.0（Windows；U；Windows NT 5.1；nl；rv:1.9.1b3）Gecko/20090305 Firefox/3.1b3（.NET CLR 3.5.30729）用户代理：Mozilla/5.0（X11；U；Linux i686；en-US；rv:1.8.1.7）Gecko/20071018 Boneecho/2.0.0.7用户代理：Mozilla/5.0（Macintosh；U；PPC Mac OS X 10_5_7；en-us）AppleWebKit/530.19.2（KHTML，如Gecko）版本/4.0.2跟踪节点对8月17日的攻击数据的分析显示，来自100多个国家的设备参与了攻击，这是当前僵尸网络的一个特征。攻击IP的分布以及独特的用户代理字符串使开始初步调查的研究人员相信，其他组织可能已经看到或可能会遇到类似的攻击。研究人员联系其他组织的同行，以验证他们所看到的情况。一旦更大规模的协作行动开始，调查就开始迅速展开，首先是对历史日志信息的调查，这项调查揭示了攻击IP和可能运行在Android操作系统之上的恶意内容之间的联系。在Mirai攻击事件之后，信息共享组织重新兴起，研究人员共享情况报告，并在必要时合作解决互联网范围内的问题。此外，WannaCry、Petya和其他全球活动只会加强这种合作的价值。许多信息共享小组，比如这个小组，纯粹是行业内同行之间的非正式交流。查找软件对8月17日攻击的日志进行的调查显示，之前的攻击与第一个Android应用程序"twdlphqu v1.3.5"存在相同的特征_apkpure.com.apk". 研究人员很快抓住了这个应用程序的例子，以了解它是如何工作的，并确定是否存在相关的应用程序。使用应用程序包中应用程序名称和参数的变体进行的搜索显示，来自同一作者或同名作者的多个附加应用程序具有可比的描述，如图2所示。随着新应用程序的定位，团队中的其他人开始深入研究二进制文件，以了解它们是如何工作的。图2：一个类似恶意软件搜索的屏幕截图。在为移动设备预先配置好的应用程序商店中发现这些应用程序的案例很少。只要有可能，这些应用程序商店的虐待小组，比如谷歌，都会被联系起来，并迅速地工作，以删除这些令人不快的内容。谷歌针对这项研究发表了以下评论：我们发现了大约300个与此问题相关的应用程序，并将它们从Play Store中阻止，我们正在从所有受影响的设备中删除它们。研究人员的发现，再加上我们自己的分析，使我们能够更好地保护Android用户，无处不在。恶意软件概述许多被识别的应用程序都属于媒体/视频播放器、铃声或工具（如存储管理器和应用程序商店）的类别，这些功能对于被感染的最终用户来说并不明显。在应用程序启动时，邪恶的组件通过启动命令和控制轮询服务开始工作，该服务查询命令和控制服务器（最常见的是g[.]axclick[.]存储）以获取攻击命令。当接收到攻击命令时，解析服务检查原始攻击命令，解析它并使用提取的参数调用攻击服务。包含这些攻击功能的应用程序虽然是恶意的，但对安装这些功能的用户来说似乎是善意的。这些应用程序还利用了Android服务架构的特性，允许应用程序在后台使用系统资源，从而能够在应用程序不使用时发起攻击。防病毒扫描器目前将此恶意软件识别为"Android Clicker"特洛伊木马，但此活动的目的与点击欺诈无关。这种恶意软件很可能以前与点击欺诈有关，但后来被用于DDoS。关于应用程序的流氓组件的内部结构的深入概述可以在附录1中找到。结论这些发现只有在DDoS目标、DDoS抵御公司和情报公司之间的公开合作下才可能实现。每个玩家都有一个不同的谜团；如果没有每个人的贡献，这个僵尸网络将一直是个谜。当DDoS攻击的详细指标与攻击相关时，组织可以做的最好的事情就是分享DDoS攻击。有了这些信息，我们这些有权废除这些计划的人可以比其他人了解更多关于这些计划的信息。这些指标包括包捕获、攻击IP地址列表、勒索记录、请求头和任何感兴趣的模式。此类数据不应包含任何合法的客户端流量，以减少隐私问题，同时也因为合法流量会污染和减慢分析速度。重要的是，他们可能不允许在这个圈子里分享他们的专业知识，而不是让他们在这个圈子里分享他们的专业知识。寻求帮助是没有羞耻的。不仅没有羞耻感，而且在大多数情况下，您无法隐藏您正遭受DDoS攻击的事实。许多研究工作都能够检测到全球范围内是否存在针对第三方的DDoS攻击，而不管这些第三方多么想让这个问题保持沉默。隐秘没有什么好处，主动出击有很多好处。共享详细的攻击指标还允许正式和非正式的信息共享组交流和了解全球范围内正在发生的攻击，而不仅仅是他们在自己的平台上看到了什么。本报告是一个例子，说明非正式分享如何能够对受害者和整个互联网产生巨大的积极影响。跨组织合作对于打击对互联网的威胁是必不可少的，没有它，犯罪计划就可以不经审查而运作。我们要感谢Akamai、Cloudflare、Flashpoint、Google、RiskIQ、Cymru团队和其他未公开上市的组织的研究人员。我们还要感谢联邦调查局在这件事上的协助。作者和研究人员Tim April:Akamai高级安全架构师克里斯·贝克：甲骨文Dyn威胁情报负责人马特·卡托尔斯Jaime Cochran:Cloudflare安全分析师Marek Majkowski:热情的极客@CloudflareJared Mauch:Akamai互联网研究与架构艾莉森·尼克松：闪点安全研究主任Ju公司