近期資安研究團隊 Hunt.io 發現了一款名為 xlabs_v1 的新型殭屍網路(Botnet),這是一款基於著名的 Mirai 惡意軟體框架開發。這款惡意軟體的主要目標是那些將 ADB 服務暴露在公網上的 Android 設備與 IoT 硬體,將其劫持後轉化為分佈式阻斷服務攻擊(DDoS)的節點。
理解 ADB 的風險與攻擊路徑
對於開發者或初級工程師來說,首先要理解什麼是 ADB。ADB 全稱為 Android Debug Bridge(Android 調試橋),是一個允許電腦與 Android 設備進行通訊的命令行工具。它通常用於安裝 App、讀取日誌或執行 Shell 指令。
在正常開發流程中,ADB 透過 USB 連接。然而,許多 Android 設備(如 Android 電視盒、機上盒、智慧電視)或某些 IoT 硬體在出廠時或經用戶設定後,會開啟網路 ADB 功能(通常監聽 TCP 埠 5555)。如果這項服務直接暴露在公網且沒有設定密碼驗證,任何能掃描到該埠口的攻擊者都可以直接透過網路取得設備的 Shell 權限,等同於拿到了設備的後門鑰匙。
xlabs_v1 的運作機制
xlabs_v1 的攻擊流程非常直接:它會掃描公網上開啟 5555 埠的設備,一旦發現目標,便透過 ADB shell 將惡意載荷(Payload)直接寫入設備的 /data/local/tmp 目錄中並執行。
為了極大化受害範圍,該惡意軟體支援多種 CPU 架構,包括 ARM、MIPS、x86-64 與 ARC。這意味著它不僅能攻擊 Android 設備,還能滲透到家用路由器等各種嵌入式 IoT 硬體中。
這款殭屍網路的核心目的是提供 DDoS 租賃服務,特別針對遊戲伺服器(如 Minecraft)。它支援 21 種不同的流量洪水(Flood)攻擊變體,涵蓋 TCP、UDP 及 Raw 協定,甚至能模擬 RakNet 或 OpenVPN 的封包特徵,藉此繞過一般消費級的 DDoS 防護系統。
獨特的帶寬評級與非持久化設計
xlabs_v1 有一個相當有趣的商業邏輯:它會對受害設備進行帶寬分級。
當設備被感染後,惡意軟體會執行一個帶寬分析程序。它會同時開啟 8,192 個 TCP 連接,對地理位置最近的 Speedtest 伺服器進行 10 秒的壓力測試,將測得的 Mbps 數值回傳給控制端。攻擊者根據設備的帶寬大小將其分入不同的價格等級,向客戶出售不同強度的攻擊能力。
值得注意的是,xlabs_v1 採取了非持久化(Non-persistence)設計。它不會修改系統啟動腳本,也不會建立 cron 定時任務或 systemd 單元。這意味著設備一旦重啟,惡意軟體就會消失。
從工程角度看,這看似是漏洞,但實際上是攻擊者的策略。他們將帶寬偵測視為低頻率的維護操作,而非每次攻擊前的必要檢查。當需要發動攻擊時,他們會再次透過 ADB 漏洞重新感染設備。這種做法能降低被安全軟體偵測到持久化修改的風險。
競爭排除與生態位
為了確保能榨乾受害設備的所有上行帶寬,xlabs_v1 內建了一個 Killer 子系統。當它發現設備上運行著其他競爭對手的殭屍網路程式時,會主動將其終止,強行佔領設備資源。
目前該惡意軟體被評估為中階水準。它比一般的腳本小子(Script Kiddie)修改版 Mirai 更專業,但尚未達到頂級商業 DDoS 組織的複雜程度。其核心競爭力在於攻擊種類的多樣性與價格競爭力,而非技術上的突破。
實務防禦建議
對於設備管理員或開發者,應採取以下措施防止此類攻擊:
第一,絕對禁止將 ADB 服務暴露在公網。如果必須遠端調試,請務必使用 VPN 或 SSH 隧道,並設定強密碼驗證。
第二,檢查 IoT 設備的預設設定。許多廉價的 Android 盒子出廠即開啟 ADB 網路調試,應在部署後立即將其關閉。
第三,監控異常的網路流量。尤其是設備突然對外發起大量 TCP 連接或出現異常的 UDP 流量,這通常是設備已被劫持為 DDoS 節點的徵兆。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。