Android埠開放，惡意軟體趁虛而入

「用指尖改變世界」

長久以來，設備埠是否應該開放始終是一個備受爭議的話題。趨勢科技最近發現了一個與TCP埠5555緊密關聯的問題，再一次將爭議推至前台。

TCP埠5555旨在允許通過Android調試橋（ADB）管理設備，這是一種Android SDK功能，允許開發人員輕鬆地與設備通信並在其上運行命令或完全控制它們。但ADB埠應在商用設備上禁用，會要求啟用初始USB連接。而如果製造商在發貨之前打開了埠，就可能會使用戶暴露給攻擊者。

其實TCP埠遇到問題已經不是初次了，僅在今年就有一例：利用Mirai代碼的修改版本的蠕蟲曾搜索具有開放埠5555的設備，以進行挖掘加密幣。

最近，趨勢科技在7月9日至10日和7月15日檢測到兩個可疑的活動峰值後，發現了一個使用埠5555的新漏洞，第一波網路流量主要來自中國和美國，而第二波主要涉及韓國。

通過對網路數據包的分析，趨勢科技確定惡意軟體通過掃描的開放式ADB埠進行傳播。它通過ADB連接刪除第1階段shell腳本，從而在目標系統上啟動。該腳本下載了負責啟動第3階段二進位文件的兩個第2階段shell腳本。

在感染設備之後，惡意軟體終止一系列進程並啟動其自己的子進程，其中一個負責將惡意軟體作為蠕蟲傳播。它還會打開與命令和控制（C＆C）伺服器的連接。

此有效載荷包含一個標頭，其中包含要發送的目標數和IP數據包類型，這可能表明惡意軟體旨在啟動分散式拒絕服務（DDoS）攻擊（它可以發送UDP，TCP SYN和TCP ACK數據包（隨機有效載荷隨機長度），UDP隨機有效載荷通過通用路由封裝（GRE）和TCP SYN進行隧道傳輸。

此外，趨勢科技還挖掘了一個有趣的發現。研究時下載的二進位文件連接到C＆C伺服器95 [.] 215 [.] 62 [.] 169，與Mirai殭屍網路的Satori變體有關。深入研究活動中涉及的兩個IP地址的GeoIP信息，發現它們位於歐洲; 西班牙95 [.] 215 [.] 62 [.] 169和荷蘭185 [.] 62 [.] 189 [.] 149。有理由相信同一作者背後有這個惡意軟體的樣本和Satori。

超過48,000個物聯網系統容易受到ADB的攻擊。並非所有易受攻擊的系統都會暴露，因為它們通常隱藏在具有網路地址轉換（NAT）的路由器後面。然而，由於配置錯誤，可以將它們製成可訪問的手動或通過UPnP NAT穿越。無論用戶的密碼強度如何，所有多媒體設備，智能電視，行動電話和其他沒有額外保護的設備，此惡意軟體都可以輕鬆進攻。

解決措施：輕鬆更改其移動設備設置的用戶可以進入設置，選擇「開發人員選項」並確保關閉「ADB（USB）調試」和「來自未知來源的應用程序」。默認情況下，後一個設置處於關閉狀態，但應進行雙重檢查以確保。如果用戶懷疑其設備已被感染，則執行恢復出廠設置可以清除有效負載。一般條件下，移動設備用戶應定期將其設備更新為最新版本。這些更新不僅可以改善其設備的功能，還可以解決攻擊者可以利用的漏洞。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！