基于Mirai的 xlabs_v1 僵尸网络利用 ADB 劫持 IoT 设备进行 DDoS 攻击
Source: The Hacker News
网络安全研究人员曝光了一个新的基于 Mirai 的僵尸网络,它自称为 xlabs_v1,并针对运行 Android Debug Bridge(ADB)的面向互联网的设备,将它们招募到一个能够执行分布式拒绝服务(DDoS)攻击的网络中。
- 来源: Hunt.io – detailed analysis
- 发现: 在荷兰托管的服务器 IP
176.65.139[.]44上的一个未受保护的目录,无需身份验证即可访问。
能力
- 支持 21 flood variants 跨 TCP、UDP 和原始协议(包括 RakNet 和 OpenVPN‑shaped UDP)。
- 绕过消费级 DDoS 防护。
- 作为 DDoS‑for‑hire 服务,针对游戏服务器和 Minecraft 主机。
目标向量
xlabs_v1 会扫描在 TCP 端口 5555 上暴露 ADB 服务的 Android 设备。潜在受害者包括:
- Android 电视盒
- 机顶盒
- 智能电视
- 其他默认启用 ADB 的设备
Malware Details
- Payload: Android APK 名为
boot.apk。 - Architecture support: ARM、MIPS、x86‑64、ARC – 表明其针对家庭路由器和物联网硬件。
- Command‑and‑Control: 操作面板位于
xlabslover[.]lol。 - Execution: 通过 ADB shell 交付,粘贴到
/data/local/tmp。
“该 bot 为静态链接的 ARMv7,运行在精简的 Android 固件上,并通过 ADB‑shell 粘贴到
/data/local/tmp进行投递,” – Hunt.io.
带宽分层定价
一个分析例程:
- 打开 8,192 并行 TCP 套接字 到最近的 Speedtest 服务器。
- 持续 10 秒 进行饱和。
- 将测得的传输速率(Mbps)报告回面板。
这些数据将每个被妥协的设备分配到付费客户的定价层级。
“该机器人不会将自身写入磁盘持久化位置,不会修改 init 脚本,不会创建 systemd 单元,也不会注册 cron 任务,” – Hunt.io.
这表明操作者期望对每次新攻击进行 重新感染,而不是保持持久化。
“Killer” Subsystem
- 终止竞争性恶意软件,以垄断受害者的上行带宽。
- 该恶意软件背后的威胁行为者未知,但每个构建中都有一个 ChaCha20 加密的字符串,指向代号 “Tadashi”。
相关活动
共址基础设施(主机 176.65.139[.]42)托管了一个 VLTRig Monero 挖矿工具包。目前尚不清楚是否同一行为者在运营这两项服务。
威胁评估
“在商业犯罪的术语中,xlabs_v1 属于中等层级。它比典型的脚本小子 Mirai 分支更为复杂,但不如商业雇佣 DDoS 顶级层级那样复杂,” – Hunt.io.
运营者在价格和攻击多样性上竞争,而非技术复杂度。主要目标是消费类物联网设备、家庭路由器以及小型游戏服务器运营商。
附加背景
Darktrace 报告称,其蜜罐网络中一个故意错误配置的 Jenkins 实例被入侵,用于部署从远程服务器 (103.177.110[.]202) 下载的 DDoS 僵尸网络。攻击者还使用了规避技术。
“游戏专用的 DoS 技术的出现进一步表明,游戏行业仍然是网络攻击者的大规模攻击目标,” – Darktrace。
阅读完整的 Darktrace 分析。
所有 IP 地址已部分马赛克处理([.]),以防止意外扫描。
该僵尸网络很可能已经被用于攻击游戏服务器,这提醒服务器运营者必须确保已采取适当的缓解措施。
觉得这篇文章有趣吗? 关注我们获取更多独家内容: