A variante oferece ataques poderosos de inundação UDP!
Quando várias empresas de tecnologia se combinaram para analisar e espero controlar um novo botnet baseado em Android, eles chamaram de WireX , eles descreveram isso como focados em ataques HTTP (S) de baixa largura usando POST e GET. Eles perderam uma variante posteriormente analisada pelos 360 Flame Labs da Qihoo Technology. Esta variante do WireX é capaz de fornecer ataques de inundação UDP de alto volume.
Tanto a F5 Networks quanto a Akamai analisaram posteriormente esta "nova" variante. Akamai admite que foi "essencialmente esquecido" pelos pesquisadores originais até serem encontrados e analisados pelos laboratórios de Qihoo. F5 parece encontrá-lo de forma independente. Com preocupação, um único bot é capaz de gerar mais de 250 GB de tráfego de ataque por diretiva de ataque.
As análises mostram que o componente INSMainActivity "executa o show e é responsável por bootstrapping preliminar e giro dos serviços de pesquisa de comando e controle (C2)". Ele pesquisa o p.axclick.store para comandos. Se receber uma resposta onde a tag <title> não está vazia, ele gira o serviço AsyncTask / Vpxbjlowiwzg. Isso, por sua vez, gera os segmentos de pesquisa C2, um dos quais é responsável pela lógica de ataque UDP, incluindo o envio do tráfego UDP.
Se a resposta C2 inicial contiver uma marca <title> e a string 'snewxwri' (WireX é chamado de um anagrama dos 5 caracteres finais), então a seqüência da diretiva de ataque é dividida () em uma matriz neste valor delimitador . O delimitador separa o endereço IP alvo e a porta a atacar (1337 na análise de Akamai).
"O tráfego de ataque UDP que sai do dispositivo infectado usa características de ataque bastante genéricas e não oferece recursos de personalização para o atacante". Nesta variante / versão, o atacante não possui opções sobre o tamanho do pacote ou conteúdo de preenchimento para o ataque UDP - o bot recebe suas instruções e executa seu ciclo de ataque. Cada pacote é nulo (0x00) preenchido para um comprimento de 512 bytes.
O bot gira 50 fios. Cada thread é executado até que 10.000.000 pacotes tenham sido direcionados para o alvo e sejam substituídos pelo próximo tópico. "É possível", escreve Akamai, "uma vítima poderia receber muitos mais de 500.000.000 de pacotes por uma determinada fonte de ataque. Nestas taxas, um único host é capaz de gerar mais de 250GB de tráfego de ataque por diretriz de ataque recebida".
A taxa de ataque depende da velocidade do dispositivo de entrega e suas conexões de rede. "O código não acelera o ataque e, como resultado, usará todos os recursos disponíveis no dispositivo. Percebemos que o nosso telefone Android ficou surpreendentemente quente ao tocar como resultado".
O WireX é mais complexo e perigoso do que o pensamento original. "Descobrir e, finalmente, confirmar, que a WireX também pode lançar ataques volumétricos baseados em UDP é importante, pois é mais provável que tenham impactos em aplicações adicionais e camadas de OSI. Isso amplia as capacidades do botnet, aumentando as preocupações adicionais para os defensores". Nenhum ataque definitivo WireX UDP DDoS ainda foi visto.
"As amostras iniciais do WireX foram marcadas como malware de fraude de clique", comenta Akamai.
O F5 Networks, oferece uma possível explicação : um comando que é acionado apenas quando o lançamento do aplicativo é servido pelo URL p.axclick.store. "Isso resulta em um malware abrindo o navegador Android padrão 10 vezes e navegando no URL de destino, o que parece apenas uma funcionalidade básica de clickfraud", comente os pesquisadores da F5.
"Embora seja fácil ver como um bot de fraude de cliques pode ser facilmente reutilizado para realizar ataques HTTP (S), acrescenta Akamai", esta descoberta e nossa pesquisa tudo, mas confirma que o WireX não era um botnet de fraude de cliques sendo reutilizado para executar DDoS ataques. O WireX foi criado para se envolver em ataques DDoS desde o início. Para que fim (resgate, ddos por aluguel, etc.), ainda não foi realizado ".
O F5 Networks também ressalta que, apesar da natureza básica do próprio ataque UDP, "tem boa diferenciação de mercado em sua funcionalidade HTTP. Sendo baseado na classe WebView do Android, o thingbot [o termo usado para botnets baseados em IoT, como Mirai] é melhor equipado com funcionalidades de navegador, tornando-o mais resistente a vários desafios de bot, como suporte a cookies, redirecionamentos e JavaScript, que ainda são um obstáculo para muitos malwares DDoS".
O que parece claro é que o WireX está nos estágios iniciais de sua evolução -, mas já mostra indicações de que poderia se transformar em uma séria ameaça.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário