僵尸网络瞄准Android设备上开放的5555端口

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

僵尸网络瞄准Android设备上开放的5555端口

趋势科技警告说,一波攻击攻击的目标是打开端口5555的Android设备,这可能是为了将它们陷入僵尸网络。

TCP端口5555旨在允许通过Android调试桥(ADB)管理设备,这是一种Android SDK功能,允许开发人员轻松地与设备通信并在其上运行命令或完全控制它们。

ADB端口应在商用设备上禁用,并要求启用初始USB连接。然而,上个月,安全研究员凯文·博蒙特(Kevin Beaumont)透露,许多设备都支持启用ADB,这使得它们受到攻击。

自1月以来,已经出现了专门针对亚行港口的扫描攻击。在2018年初,利用Mirai代码的修改版本的蠕虫正在搜索具有开放端口5555的设备,以便进行加密挖掘。

现在,趋势科技表示新的攻击目标是针对5555端口。该安全公司7月9日至10日发现活动激增,网络流量主要来自中国和美国,随后是7月15日的第二波,主要涉及韩国。

“根据我们对网络数据包的分析,我们确定恶意软件通过扫描的开放式ADB端口进行传播。它通过ADB连接删除第1阶段shell脚本,以在目标系统上启动。该脚本下载了负责启动第3阶段二进制文件的两个第2阶段shell脚本,“趋势科技解释说。

在感染设备之后,恶意软件针对一系列终止进程并启动其自己的子进程,其中一个负责将恶意软件作为蠕虫传播。它还会打开与命令和控制(C&C)服务器的连接。

有效负载还包含一个标头,其中包含许多目标和要发送的IP数据包类型,这可能表明恶意软件旨在启动分布式拒绝服务(DDoS)攻击(它可以发送UDP,TCP SYN和TCP ACK数据包(随机有效载荷随机长度),UDP随机有效载荷通过通用路由封装(GRE)和TCP SYN进行隧道传输。

趋势科技还发现下载的二进制文件连接到95 [。] 215 [。] 62 [。] 169 的C&C服务器,发现它与Mirai变种Satori相关联。

趋势安全研究人员说:“有理由认为同一作者支持这个样本和Satori。”

趋势科技还指出,恶意软件的蠕虫传播能力可能表明其他攻击可能跟随最近观察到的活动高峰。该安全公司表示,恶意软件背后的角色可能“正在测试他们的工具和策略的有效性,为更严重的攻击做准备。”

在线搜索显示超过48,000个易受ADB攻击的物联网系统,但并非所有这些系统都可能暴露出来,因为有些可能在具有网络地址转换(NAT)的路由器后面。即便如此,错误配置可能会导致这些设备从Internet上被访问,从而使它们成为恶意软件的简易目标。

趋势科技总结道:“无论用户的密码强度如何,所有多媒体设备,智能电视,移动电话和其他没有额外保护的设备都是这种恶意软件的目标。”

CE安全网

发表评论

您必须登录才能发表评论!