在研究人员发现相关应用正在秘密劫持Android设备，以将流量提供给针对多个内容交付网络（CDN）和内容提供商的大规模分布式拒绝服务（DDoS）攻击后，Google最近从其Play商店中删除了大约300个应用。

来自Akamai，Cloudflare，Flashpoint，Google，Oracle Dyn，RiskIQ，Team Cymru和其他组织的研究人员小组认为，WireX僵尸网络是罪魁祸首。

Akamai的研究人员首先发现WireX，当时它通过从数十万个IP地址发送流量来攻击其客户之一（一家跨国酒店公司）。

“ WireX僵尸网络主要由运行恶意应用程序的Android设备组成，旨在创建DDoS流量。僵尸网络有时与目标勒索信息有关。” Cloudflare在博客文章中写道。

Cloudflare指出，WireX使用被劫持的设备发起了应用程序层的DDoS攻击。攻击节点生成的流量主要是HTTP GET请求，尽管某些变体似乎能够发出POST请求。换句话说，僵尸网络产生的流量类似于来自通用HTTP客户端和Web浏览器的有效请求。

所涉及的恶意应用程序包括媒体和视频播放器，铃声以及其他工具，例如存储管理器。据Gizmodo称，邪恶的应用程序包含隐藏的恶意软件，只要打开设备电源，这些恶意软件就可以使用Android设备参与DDoS攻击。

目前尚不清楚感染了多少设备-一位研究人员告诉KrebsOnSecurity，WireX至少感染了70,000台设备，但指出这一估计是保守的。据认为，来自100多个国家的设备被用于参与攻击。

“有上万个赌注是安全的选择，因为该僵尸网络使之成为可能，因此，如果您在高速公路上行驶并且手机正忙于攻击某些网站，则您的设备可能会以三，四个或什至五个出现在攻击日志中Akamai高级工程师Chad Seaman在接受KrebsOnSecurity采访时说。“我们看到来自100多个国家/地区受感染设备的攻击。它无处不在。”

保护移动网络免受武器化智能手机的侵害

与它的前身Mirai一样，WireX也说明了保护网络和应用程序免受攻击的重要性。大规模攻击可能来自任何地方，甚至包括成千上万个Android设备的僵尸网络。随着这些类型的攻击的频率，复杂程度和规模不断增长，组织需要采取适当的解决方案来阻止它们，以便有机会造成严重破坏。

WireX的独特之处在于它带来了新的威胁：武器化的智能手机，它引入了数十亿个已经成熟的感染端点，这些端点可以在移动网络上传播不良代理。

传统上，保护移动和服务提供商网络免受通过Internet 传入的DDoS攻击。但是，基于攻击将在Internet边缘停止的假设，许多关键组件没有受到保护。像WireX这样的攻击改变了这种模式。

防御吧产品管理总监表示：“ WireX证明攻击也可能源自移动网络内部，几千名受感染的主机也可以影响移动网络的大脑。” “这些受感染的智能手机最终将开始攻击移动网络的关键组件，并且由此带来的潜在后果可能是巨大的。”

诸如WireX之类的攻击加强了服务提供商在各个方面保护其关键资产的需求-不仅是受到来自外部的攻击，还来自内部的攻击。

为了抵御WireX等攻击，服务提供商和移动网络运营商需要在智能手机与内部和外部的移动网络基础设施之间提供智能，可扩展的DDoS防御解决方案。为了解决这种复杂的攻击，现代的DDoS解决方案需要情报来了解多态攻击的变化性质，这种能力能够更改签名和变化的标头，例如WireX发起的那些。

在移动网络中放置高性能，可扩展且智能的DDoS威胁防护将帮助服务提供商防御数十亿武器化的端点，并使他们能够检测在线威胁和多向量攻击类型的攻击，并从中学习，最重要的是，阻止他们。

防御吧可以防御WireX DDoS攻击

防御吧提供了一种多层方法，可确保内部和外部的服务提供商和移动运营商的整个基础架构免受威胁。

例如，防御吧Thunder®融合防火墙（CFW）  具有集成的Gi / SGi防火墙功能，可保护移动核心基础架构和订户免受多向量攻击，并确保应用程序具有高可用性，加速性和安全性。Gi / SGi防火墙在移动网络中的关键位置，特别是与Internet的Gi / SGi LAN接口，可提供高度可扩展，灵活和高性能的安全性。

Gi / SGi防火墙不仅保护移动网络中的控制平面和数据平面，而且还为公共和私有NAT IP池提供DDoS保护，以确保保护移动核心基础结构和订户免受DDoS攻击。它可以检测出30多个带有IP黑名单的IP数据包异常，从而更深入，更精细地缓解攻击。连接速率限制和系统范围的连接限制可检测并阻止不良流量。而且，用于移动回程的IPsec功能可防止窃听并通过无线和Wi-Fi网络提供安全的通信。

同时，我们的高性能DDoS保护解决方案系列防御吧Thunder®威胁防护系统（TPS™）可以阻止由WireX驱动的DDoS攻击，以保护应用程序和网络免遭破坏。

Thunder TPS可以缓解多态攻击，例如攻击特征码的更改和标头的变化，例如WireX发起的攻击，这些攻击需要情报和对RegExs的广泛使用。而且，Thunder TPS比依赖静态签名（例如常量头）的其他DDoS保护解决方案更好地缓解了多态攻击。

同时，Thunder TPS以440 Mpps的速率提供了300 Gbps的业界最佳规模。100ms的缓解间隔和基于FPGA的流量加速功能可在攻击负担加重CPU之前缓解它们。TPS使用超过三十二种情报源来阻止恶意流量，并通过27多种行为指标来提升可疑流量，以避免合法流量下降。

TPS是世界上性能最高的DDoS解决方案，可防御兆位至兆位的多向量DDoS攻击，例如WireX所激发的攻击。