بوتنت xlabs_v1 المشتق من Mirai كيستغل Android Debug Bridge المكشوف لهجمات DDoS-for-Hire

خلاصة باحثين ديال Hunt.io وثقو xlabs_v1، واحد البوتنت مشتق من Mirai كيستغل خدمات Android Debug Bridge (ADB) اللي مكشوفة للأنترنيت باش يخترق أجهزة IoT، بحال أجهزة Android TV boxes، أجهزة الاستقبال (set-top boxes)، والراوترات ديال الديور، باش يشن هجمات DDoS. هاد البوتنت كيدعم 21 نوع ديال الهجمات وخدام بحال خدمة منصة DDoS-for-hire مقسمة على حساب الـ bandwidth، وكيستهدف سيرفورات الألعاب والبنية التحتية ديال Minecraft. المهاجم (threat actor) اللي معروف بلقب "Tadashi" مادار حتى شي ميكانيزم ديال البقاء (persistence)، وهادشي كيعني أنه كيحتاج يعاود يخترق الأجهزة مرة أخرى ما بين العمليات.

شنو واقع

الباحثين فـ Hunt.io كتاشفو xlabs_v1 من بعد ما لقاو مسار (directory) مكشوف فواحد السيرفور مستضاف فـ هولندا فالعنوان ديال الـ IP التالي 176.65.139[.]44 وماكيطلبش مصادقة (authentication). البوتنت كيستهدف أجهزة Android اللي فيها خدمات ADB مكشوفة وكتصنت فـ TCP port 5555 — وهادي إعدادات افتراضية فبزاف ديال الأجهزة الاستهلاكية اللي كتجي وفيها أدوات المطورين مفعلة.

البرمجية الخبيثة كتتوزع على شكل ملف APK سميتو boot.apk وكيدعم بزاف ديال المعماريات بحال ARM، MIPS، x86-64 و ARC. بمجرد ما كيتنشر عبر أوامر ديال ADB shell للمسار /data/local/tmp، كيخدم ككود ARMv7 مرتبط بشكل ثابت ومديور ليه strip للـ debug symbols. البوتنت كيتواصل مع لوحة تحكم (C2) كاينة فـ xlabslover[.]lol باش يتلقى أوامر الهجوم ويصيفط الـ telemetry.

من الخصائص التشغيلية البارزة فهاد البوتنت هي الغياب ديال ميكانيزمات البقاء (persistence). البوت ماكيكتبش فـ disk، وماكيعدلش الـ init scripts، وماكيكرييش systemd units، ولا كيسجل cron jobs. فبلاصت هادشي، خاص المشغل يعاود يخترق كل جهاز عبر ADB من بعد ما كيعبر الـ bandwidth، وهادشي كيعطي فكرة أن فاعل التهديد كيتعامل مع تحديد مستويات الأجهزة كعملية نادرة للأسطول ديالو ماشي كتحقق روتيني قبل كل هجوم.

هاد البوتنت فيه روتين ديال قياس الـ bandwidth، اللي كيحل 8,192 قناة اتصال TCP parallel متوازية لسيرفورات Speedtest الأقرب جغرافيا، وكيعمرهم لمدة 10 ثواني، ومن بعد كيصيفط معدل نقل البيانات المقاس بالـ Megabits فالثانية للوحة التحكم. هاد البيانات هي اللي كتحدد المستويات ديال الأثمنة للكليان ديال DDoS-for-hire. المهاجم كيعزل الضحايا فمستويات على حساب الـ upstream bandwidth اللي متاحة، وهادشي كيمكنو يحدد أثمنة للخدمة على حساب قدرة الهجوم.

شركة Hunt.io صنفات هاد التهديد كمتوسط التعقيد — يعني متطور كثر من النسخ العادية ديال Mirai اللي كيستعملوها المبتدئين (script-kiddies)، ولكن قل تعقيد من العمليات التجارية الكبيرة ديال DDoS-for-hire. المهاجم كينافس بالثمن والتنوع ديال الهجمات كثر ما كينافس بالتعقيد التقني.

فجهة أخرى، Darktrace خدمات تقرير بلّي واحد الـ Jenkins instance، اللي كانت مكوّنفيغيرية غالطة بالعاني فالبنية التحتية ديال الـ honeypot ديالهم، كانت مستهدفة باش يطيحو فيها بوتنت ديال DDoS واحد آخر تنزل من 103.177.110[.]202. العلاقة بين هاد الجوج أحداث مازال ماواضحاش.

تحليلات إضافية للبنية التحتية كشفات على مجموعة أدوات ديال تعدين Monero سميتها VLTRig فواحد الـ host فنفس البلاصة 176.65.139[.]42، واخا مازال ماكاينش تأكيد واش نفس فاعل التهديد هو اللي واقف موراها.

علاش هادشي مهم

هاد البوتنت كيأثر بشكل مباشر على بزاف ديال الجهات فمنطقة الشرق الأوسط وشمال إفريقيا (MENA) وفالعالم كامل:

للمصنعين والمدمجين ديال أجهزة IoT: الأجهزة الاستهلاكية اللي كتتباع و ADB خدام فيها افتراضياً كتولي بنية تحتية للهجوم بلا مايعرفو المستخدمين. الأجهزة بحال Android TV boxes، أجهزة الاستقبال (set-top boxes)، والتلفازات الذكية كتمثل نسبة كبيرة من الأجهزة الموزعة فالشبكات المنزلية اللي فيها مستوى أمان ضعيف.

للمدافعين على الشبكات: 21 نوع ديال الهجمات ديال البوتنت عبر TCP، UDP والـ raw protocols — وبما فيها ترافيك UDP مصايب باش يبان بحال RakNet و OpenVPN — مصممة باش تفوت الحماية العادية ديال الـ DDoS للمستهلكين. هادشي كيعني أن دفاعات المحيط (perimeter defenses) العادية تقدر ماتحبسش الترافيك الخبيث اللي خارج من الأجهزة المخترقة.

لمشغلي سيرفورات الألعاب: xlabs_v1 مصمم خصيصاً باش يستهدف سيرفورات الألعاب والبنية التحتية ديال Minecraft، بتقنيات هجوم محسنة باش تضر حمولات الألعاب (gaming workloads). المشغلين غادي يخصهم استثمارات كبر فالحماية.

لفرق SOC: دورة إعادة الاختراق كتبين أن الاكتشاف خاصو يركز على المحاولات المتكررة ديال استغلال ADB فبلاصت السلوك المستمر ديال الـ agent، وهادشي كيطلب إعدادات مراقبة (monitoring baselines) فـ شكل مقارنة بالحملات التقليدية ديال البوتنت.

لمسؤولي الأنظمة: التعرض الكبير ديال ADB فالأجهزة اللي مكونيكتية بالأنترنيت كيخلق مساحة هجوم غير متكافئة. بزاف ديال مسؤولي الأنظمة يقدر مايكونوش رادين البال باللي أدوات المطورين مفعلة فأجهزة الإنتاج (production devices).

الأنظمة المتأثرة و CVEs

• خدمات Android Debug Bridge (ADB) فالأجهزة المكشوفة للأنترنيت
• أجهزة Android TV boxes اللي مفعل فيها ADB
• أجهزة الاستقبال (Set-top boxes) اللي مفعل فيها ADB
• التلفازات الذكية (Smart TVs) اللي مفعل فيها ADB
• راوترات الديور اللي كتدعم معماريات متعددة (ARM, MIPS, x86-64, ARC)
• أجهزة IoT اللي مفعل فيها ADB
• سيرفورات الألعاب و سيرفورات Minecraft (كأهداف للهجوم)
• نسخ Jenkins (تحددات كمسار هجوم منفصل)

ما تعطات حتى CVE فهاد الوقت ديال النشر.

شنو خاصك دير

• حبس خدمة ADB فأجهزة Android اللي ماكتحتاجهاش لأغراض التطوير
• قصر الوصول لـ ADB غير على الشبكات الموثوقة؛ وبلوكي TCP port 5555 من التعرض للأنترنيت عبر قواعد الـ firewall
• طبق العزل ديال الشبكة (network segmentation) باش تعزل أجهزة IoT والأجهزة الاستهلاكية على البنية التحتية الحساسة
• راقب النشاطات المشبوهة ديال قياس الـ bandwidth، بما فيها الاتصالات المتكررة لخدمات الـ speed-test من مصادر غير متوقعة
• راقب ترافيك DDoS الخبيث اللي كيخرج من الشبكات المنزلية
• دير تقوية الأمان (security hardening) فنسخ Jenkins والخدمات الأخرى المكشوفة للأنترنيت؛ وحدد من الوصول لـ shell وفرض المصادقة
• مشغلي سيرفورات الألعاب خاصهم يعتامدو خدمات الحماية من DDoS ويطبقو تحديد المعدل (rate-limiting) المناسب لملفات الترافيك ديالهم
• دير جرد (inventory) لأجهزة Android ديالك اللي فيها ADB خدام وسد هاد الثغرة ديال التعرض

أسئلة باقة مطروحة

• الهوية ديال فاعل التهديد الرئيسي اللي كيتحكم فـ xlabs_v1 مازالا مجهولة؛ غير اللقب "Tadashi" هو اللي مأكد عن طريق نصوص مشفرة بـ ChaCha20 فالكود ديال البوت
• واش مجموعة أدوات تعدين Monero اللي سميتها VLTRig والبوتنت xlabs_v1 كيخدمهم نفس فاعل التهديد، هادشي مازال مامؤكدش
• الحجم الحالي ديال الاختراقات — العدد الإجمالي ديال الأجهزة المخترقة أو التوزيع الجغرافي ديالها — مامكشوفش
• الهيكلة الخاصة بالأثمنة ديال المستويات ديال خدمة DDoS-for-hire ما موثقاش
• الجدول الزمني ديال تطوير xlabs_v1 وتاريخ النشر الأصلي ما محددش
• المدى ديال التقاطع بين البوتنت المستهدف لـ Jenkins اللي علنات عليه Darktrace مع عمليات xlabs_v1 مازال ماواضحش

Source

Mirai-Based xlabs_v1 Botnet Exploits ADB to Hijack IoT Devices for DDoS Attacks