【安全圈】基于 Mirai 的 xlabs_v1 僵尸網絡利用 ADB 劫持物聯網設備發動 DDoS 攻擊

關鍵詞

攻擊

網絡安全研究人員揭露了一種新的源于 Mirai 的僵尸網絡，它自稱為 xlabs_v1，目標是暴露在互聯網上且運行安卓調試橋（ADB）的設備，將這些設備納入一個可發動分布式拒絕服務（DDoS）攻擊的網絡。

詳細研究該惡意軟件的 Hunt.io 表示，他們在發現位于荷蘭的服務器（IP 地址為 “176.65.139 [.] 44”）上有一個無需任何認證即可訪問的暴露目錄后，發現了這一僵尸網絡。

Hunt.io 稱，該惡意軟件支持基于 TCP、UDP 和原始協議的 21 種洪水攻擊變體，包括 RakNet 和類似 OpenVPN 的 UDP 攻擊，能夠繞過消費級 DDoS 防護。它還被作為一種 “出租 DDoS 攻擊服務” 提供，專門針對游戲服務器和我的世界（Minecraft）主機。

xlabs_v1 引人注目的地方在于，它會搜尋在 TCP 端口 5555 上運行暴露 ADB 服務的安卓設備，這意味著任何默認啟用該工具的設備，如安卓電視盒、機頂盒、智能電視等，都可能成為潛在目標。

除了安卓 APK（“boot.apk”），該惡意軟件還支持多架構構建，涵蓋 ARM、MIPS、x86 - 64 和 ARC，表明它也針對家用路由器和物聯網（IoT）硬件。

最終形成的是一個專門構建的僵尸網絡，它會從操作員面板（“xlabslover [.] lol”）接收攻擊命令，并按需產生大量垃圾流量，尤其針對游戲服務器發動 DDoS 攻擊。

Hunt.io 解釋說：“該僵尸程序是靜態鏈接的 ARMv7 版本，運行在精簡的安卓固件上，通過 ADB shell 粘貼到 /data/local/tmp 目錄進行交付。操作員的九種變體有效載荷列表是針對安卓電視盒、機頂盒、智能電視以及出廠啟用 ADB 的物聯網級 ARM 硬件進行調整的。”

有證據表明，這種 “出租 DDoS 攻擊服務” 采用帶寬分層定價。這一判斷基于一個帶寬分析程序，該程序會收集受害者的帶寬和地理位置信息。

該組件會向地理位置最近的 Speedtest 服務器打開 8192 個并行 TCP 套接字，持續 10 秒使其飽和，并將測量到的數據傳輸速率報告回面板。Hunt.io 指出，這樣做的目的是為付費客戶將每個被攻陷的設備分配到相應的價格層級。

這里需要注意的一個重要方面是，僵尸網絡在以 Mbps（兆比特每秒）為單位發送帶寬信息后就不再駐留，這意味著由于缺乏持久化機制，操作員必須通過相同的 ADB 利用通道再次感染該設備。

Hunt.io 稱：“該僵尸程序不會將自身寫入磁盤持久化位置，不會修改初始化腳本，不會創建 systemd 單元，也不會注冊定時任務。這種設計表明，操作員將帶寬探測視為一種不頻繁的集群層級更新操作，而非每次攻擊前的預檢查，這種退出并重新感染的循環是其設計意圖。”

xlabs_v1 還具有一個 “殺手” 子系統，用于終止競爭對手，以便獨占受害者設備的全部上行帶寬來發動 DDoS 攻擊。目前尚不清楚該惡意軟件背后的主謀是誰，但從僵尸程序每個版本中嵌入的 ChaCha20 加密字符串可看出，威脅行為者的綽號是 “Tadashi”。

對共置基礎設施的進一步分析發現，在主機 176.65.139 [.] 42 上有一個 VLTRig 門羅幣挖礦工具包，不過目前還不清楚這兩組活動是否為同一威脅行為者所為。

Hunt.io 表示：“從商業犯罪角度來看，xlabs_v1 處于中等水平。它比典型腳本小子使用的 Mirai 衍生版本更為復雜，但不如頂級商業出租 DDoS 攻擊操作那么復雜。該操作員在價格和攻擊種類上競爭，而非技術復雜性。消費級物聯網設備、家用路由器和小型游戲服務器運營商是其目標。

與此同時，Darktrace 透露，其蜜罐網絡中一個故意配置錯誤的 Jenkins 實例遭到未知威脅行為者的攻擊，他們從遠程服務器（“103.177.110 [.] 202”）下載并部署了一個 DDoS 僵尸網絡，同時采取措施躲避檢測。

該公司表示：“特定于游戲的 DoS 技術的出現，進一步凸顯了游戲行業持續成為網絡攻擊者的廣泛目標。這個僵尸網絡很可能已經被用于攻擊游戲服務器，這提醒服務器運營商要確保采取適當的緩解措施。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！