新闻链接：http://www.freebuf.com/news/special/23899.html
新闻时间：2014-01-19
新闻正文：
在思科最新发布的2014年度安全报告中，“客气”地指出“99%的移动恶意软件属于安卓设备”。本周笔者不想历数安卓上的恶意软件，而是由某安全事件引发，简单谈一谈安卓平台上的DDoS应用。

安卓设备上的DDoS应用

在本周，美国某安全服务商的研究人员通过对去年12月某金融机构遭受DDoS攻击事件的分析，发现该攻击的攻击源主要来自一款安装在移动终端——当然是安卓终端——上面的攻击APP。这款可发起DDoS攻击的DDoS APP名叫“AnDOSid“。攻击者使用这个工具可以发起HTTP Post DDoS攻击。

[2.jpg]

从工具的界面上看，该工具的使用非常简单，基本不需要任何安全知识/技能基础——输入目标URL和输入包大小（可以选择缺省），然后点击”Go”就Ok了。

从数据包分析上看，“AnDOSid“打出来的是HTTP Post数据包。和HTTP Get Flood相比，防护HTTP Post Flood的难度稍微有所提升。还好，“AnDOSid“打出的攻击包有非常明显的特征，这对于有抓包强迫症的攻城狮来说无疑是一个好消息。  

事实上，“AnDOSid“并不是一个新玩意儿。早在2011年中，“AnDOSid“就已经在黑市上销售，价格为1英镑。“AnDOSid“最早问世和其它很多类似的DDoS工具一样，以服务器压力测试工具的马甲出现。打一个不太恰当的比方，就像卖菜刀的，卖刀的只说这刀好用，但是人家不管你买去是砍猪还是砍人。

可能是受智能终端、特别是安卓平台普及性的限制，“AnDOSid“并没有获得太广泛的应用。

真正震动安全界的是2012年2月份，由著名黑客组织Anonymous开发的、由另一款经典的PC端DDoS攻击工具改写而来的Android DDoS工具—— LOIC para Android by Alfred。

[3.jpg]

这款DDoS工具继承了PC端LOIC（低轨道加农炮，Low Orbit Ion Cannon）“上到九十九，下到刚会走”亲民的风格+攻击手段丰富的特点。从上图可见，安卓上的LOIC可以打出TCP和UDP Flood，可以指定端口，还可以调整发包速度，打出慢速的效果。毫无疑问，这是一款使用简单而好用的工具。

这款工具由Anonymous开发后，通过Twitter等社会化媒体进行传播，并实际应用在了当时对阿根廷政府代号“#OPargentina”的攻击中。下图是Anonymous在#OPargentina”行动中使用的LOIC的安卓版，也叫WebLoic。

[4.jpg]

当前，仍可以在Google Play上下载安卓版的LOIC，地址是：

https://play.google.com/store/apps/details?id=l.o.i.c&hl=zh_CN

说到移动版本的DDoS工具，不可能落下对DDoS工具有着最重大贡献的老毛子的“作品”。众所周知，老毛子搞僵尸网络那是一绝。在PC上是这样，移动端仍旧是这样。

“Android.DDoS.1.origin”是研究人员在2012年底发现的一款安卓设备上的DDoS恶意软件——其实称之为木马更合适。“Android.DDoS.1.origin”由俄罗斯黑客开发，程序伪装为合法的Google Play应用安装在安卓设备上。一旦点击，该应用会正常进入Android市场，用户不会有任何察觉。然而，在一切表象的背后，木马程序会自动搜索控制台（C&C）。找到控制台后，把该用户的手机号发给控制台。之后，C&C和bot之间的控制命令通信由短信实现。控制台可以随时调用bot资源发起DDoS攻击。

[5.jpg]

据使用者反馈，这款工具相当暴力，“肉鸡”在工作中，用户可以明显感受到自己手机资源的异常。终端会显得很慢，摔手机的冲动勃然而生。

魔高一尺，道高一丈。不管怎样，上面提到的三款安卓设备上的DDoS应用还只能说是早期阶段的安卓DDoS工具，有很多不成熟的地方。比如，用户可以在安卓设备上安装杀毒软件快速发现木马。同时，由于攻击包特征明显，在服务器一端可以较容易地发现和阻断。此外，对于“AnDOSid“来说，攻击包中带有手机号码，也使得攻击溯源变得非常容易。

尽管上面提到的三款安卓DDoS工具稍显粗糙甚至稚嫩，但是丝毫不能淡化移动设备面临的严峻的安全威胁。DDoS只是移动设备面临诸多的安全威胁一小部分。思科在本周发布的《Cisco 2014 Annual Security Report》中认为移动设备安全市场将在2014年爆发，不久前McAfee在其《McAfee Labs 2014 Threats Predictions》中更是将移动恶意软件（Mobile malware）威胁放在首位，称移动恶意软件将引导2014年的恶意代码市场。由此可见，随着智能终端和LTE网络的普及，移动设备的安全将成为整个安全行业的核心焦点。（笔者注：思科和McAfee的报告均可以在笔者@blackscreen的新浪微博微盘中下载）

[6.jpg]

可以预见，2014年，移动设备安全市场将异常火爆。

其它

本周值得关注的安全事件还包括：

Ecava发布其SCADA系统0day漏洞的补丁。该0day漏洞存在于Evaca旗舰产品基于Web的HMI软件上。HMI接口可以控制泵运转或停止，温度控制等等重要的功能。Evaca是在S4x14 Conference大会上公布0day及其补丁的资讯。值得注意的是，Evaca在去年夏天开始漏洞有奖征集活动，当时曾引发巨大争议。

奥巴马1月17日在司法部发表了关于NSA及其全球监听机制改革的演讲。奥巴马谈到将对政府监听机制进行重大的改革，大幅度削弱和限制NSA的权利。改革主要包括：政府（包括NSA）将不再维护和保存任何电话记录，交由第三方实现（如运营商）；政府机构（包括NSA和FBI）对电话记录的查询必须持有法院下发传票；停止对十余个外国领导和政府的监听。

（完）

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)