ADB.Miner：惡意代碼正在利用開放了ADB 介面的安卓設備挖礦

大約24小時前，從 2018-02-03 15:00 開始，一組惡意代碼開始蠕蟲式快速傳播，我們分析了這個安全威脅，一些快速的結果如下：

• 傳播時間：最早的感染時間可以回溯到 1月31日附近。當前這波蠕蟲式感染從 2018-02-03 下午 15：00 附近開始被我們的系統檢測到，目前仍在持續增長。

• 感染埠：5555，是安卓設備上 adb 調試介面的工作埠，這個埠正常應該被關閉，但未知原因導致部分設備錯誤的打開了該埠

• 蠕蟲式感染：惡意代碼在完成植入後，會繼續掃描 5555 adb 埠，完成自身的傳播

• 感染設備型號：目前能夠確認的設備型號見後，大部分是智能手機，以及智能電視機頂盒

• 感染設備數量：2.75 ~ 5k，主要分布在中國（~40%）和韓國（~30%）

另外，惡意代碼復用了 mirai 在掃描階段的代碼，這是我們首次看到 mirai 代碼被安卓蠕蟲復用

總體而言，我們認為有基於 android 系統 adb 調試介面的惡意代碼目前正在蠕蟲式積極傳播，24小時內已經感染了超過5千台設備。

埠 5555 上的感染趨勢

從 2018-02-03 晚間開始，我們檢測到埠 5555 上的掃描流量正在快速增長，如下：

如上圖所見，5555 埠上的掃描流量從下午15：00附近，開始達到日常背景數據的3倍，24：00附近到達10倍。到目前未知，發起掃描的IP數量和總掃描流量，都仍然在持續增長中。

如下圖所示，當前 5555 埠掃描流量已經排入所有埠的前十。上一次我們看到一個全新埠排入前十，是2016年9月期間，mirai殭屍網路開始組建其殭屍網路。

5555 埠上掃描來源的獨立IP地址，按照不同口徑統計，有2.75 ~ 5.5k，這個數字正在快速增長中，兩個來源的情況見後：

• 來自scanmon的統計數字： 2.75k，主要來自中國（40%）和韓國（31%）。

• 來自我們的殭屍網路跟蹤系統的統計數字： 5.5k

  受感染設備主要是各廠商開放了adb 調試介面的安卓設備

  

  

  受感染設備正在積極的嘗試投遞惡意代碼。我們從這些惡意代碼中分析發現，大部分來源設備基於 android 操作系統。

  具體被感染設備機型暫時不予公開，目前看，因為各主要廠商均涉及，並且同時涉及智能手機和智能電視（電視機頂盒？），我們傾向排除廠商級別漏洞的可能性。

  惡意代碼在利用這些設備挖礦

  相關的惡意代碼有一組，其中 xmrig 相關惡意樣本會參與挖取 XMR 代幣。相關的配置有兩組，基於兩個不同礦池，但是共享了同一個錢包地址：

  目前為止，上述錢包還沒有收到礦池的第一筆付款：

  蠕蟲式傳播

  

  我們目前可以認為惡意代碼有蠕蟲式傳播行為。

  我們最初就高度懷疑樣本有蠕蟲式傳播行為。後續的分析從幾個方面證實了上述猜測。後續我們也許會發布更新，進一步說明這一點。

  其他的分析和防禦工作，也正在持續進行中。後續的重要更新我們都會持續發布，請保持關注twitter/360Netlab。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！