从 2018年2月3日15:00 开始,一组恶意代码开始蠕虫式快速传播,恶意代码利用开放了ADB接口的安卓设备挖矿,目前感染的设备数量已经达到了2.75~5k。
360安全监测与响应中心将持续关注该事件进展,并第一时间为您更新该事件信息。
从 2018年2月3日 15:00 开始,一组恶意代码开始蠕虫式快速传播,360Netlab分析了这一安全威胁,一些初步的结果如下:
传播时间:最早的感染时间可以回溯到 1月31日左右。当前这波蠕虫式感染从 2018-02-03 下午 15:00 左右开始被我们的系统检测到,目前仍在持续增长。
感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口
蠕虫式感染:恶意代码在完成植入后,会继续扫描 5555 adb 端口,完成自身的传播
感染设备型号:目前能够确认的设备型号见后,大部分是智能手机,以及智能电视机顶盒
感染设备数量:2.75 ~ 5k,主要分布在中国(~40%)和韩国(~30%)
另外,恶意代码复用了 mirai 在扫描阶段的代码,这是我们首次看到 mirai 代码被安卓蠕虫复用。
总体而言,我们认为有基于 android 系统 adb 调试接口的恶意代码目前正在蠕虫式积极传播,24小时内已经感染了超过5千台设备。
端口 5555 上的感染趋势
从 2018-02-03 晚间开始,我们检测到端口 5555 上的扫描流量正在快速增长,如下:
如上图所见,5555端口上的扫描流量从下午15:00附近,开始达到日常背景数据的3倍,24:00附近到达10倍。到目前未知,发起扫描的IP数量和总扫描流量,都仍然在持续增长中。
如下图所示,当前 5555 端口扫描流量已经排入所有端口的前十。上一次我们看到一个全新端口排入前十,是2016年9月期间,mirai僵尸网络开始组建其僵尸网络。
5555 端口上扫描来源的独立IP地址,按照不同口径统计,有2.75 ~ 5.5k,这个数字正在快速增长中,两个来源的情况见下:
受感染设备
受感染设备正在积极的尝试投递恶意代码。我们从这些恶意代码中分析发现,大部分来源设备基于 android 操作系统。由此可见,受感染设备主要是各厂商开放了 adb 调试接口的安卓设备。
具体被感染设备机型暂时不予公开,目前看来,因为各主要厂商均涉及,并且同时涉及智能手机和智能电视(或电视机顶盒),我们倾向排除厂商级别漏洞的可能性。
恶意代码在利用这些设备挖矿
相关的恶意代码有一组,其中xmrig相关恶意样本会参与挖取XMR代币。相关的配置有两组,基于两个不同矿池,但是共享了同一个钱包地址:
目前为止,上述钱包还没有收到矿池的第一笔付款:
蠕虫式传播
我们目前可以认为恶意代码有蠕虫式传播行为。
后续的分析从几个方面证实了最初高度怀疑样本有蠕虫式传播行为的猜测。后续我们也许会发布更新,进一步说明这一点。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全预警)
影响范围
处置建议
快速应急处置建议
在相应的补丁出来之前,强烈建议用户关闭5555 adb端口,避免被恶意代码利用。
产品解决方案
360天堤防火墙防护方案
360新一代智慧防火墙(NSG3000/5000/7000/9000系列)可以通过配置“人工处置”策略,直接封堵该端口以实现对内网的保护:
步骤如下:
【处置中心】->【人工处置】,处置类型选择“网络连接”,只需要配置目的端口为:5555 ,动作:阻断,处置时间:永久,即可完成快速防护。
点击“阅读原文”了解事件最新进展
评论
直达楼层