長久以來,設備端口是否應該開放始終是一個備受爭議的話題。趨勢科技最近發現了一個與TCP端口5555緊密關聯的問題,再一次將爭議推至前臺。
TCP端口5555旨在允許通過Android調試橋(ADB)管理設備,這是一種Android SDK功能,允許開發人員輕鬆地與設備通信並在其上運行命令或完全控制它們。但ADB端口應在商用設備上禁用,會要求啟用初始USB連接。而如果製造商在發貨之前打開了端口,就可能會使用戶暴露給攻擊者。
其實TCP端口遇到問題已經不是初次了,僅在今年就有一例:利用Mirai代碼的修改版本的蠕蟲曾搜索具有開放端口5555的設備,以進行挖掘加密幣。
最近,趨勢科技在7月9日至10日和7月15日檢測到兩個可疑的活動峰值後,發現了一個使用端口5555的新漏洞,第一波網絡流量主要來自中國和美國,而第二波主要涉及韓國。
通過對網絡數據包的分析,趨勢科技確定惡意軟件通過掃描的開放式ADB端口進行傳播。它通過ADB連接刪除第1階段shell腳本,從而在目標系統上啟動。該腳本下載了負責啟動第3階段二進制文件的兩個第2階段shell腳本。
在感染設備之後,惡意軟件終止一系列進程並啟動其自己的子進程,其中一個負責將惡意軟件作為蠕蟲傳播。它還會打開與命令和控制(C&C)服務器的連接。
此有效載荷包含一個標頭,其中包含要發送的目標數和IP數據包類型,這可能表明惡意軟件旨在啟動分佈式拒絕服務(DDoS)攻擊(它可以發送UDP,TCP SYN和TCP ACK數據包(隨機有效載荷隨機長度),UDP隨機有效載荷通過通用路由封裝(GRE)和TCP SYN進行隧道傳輸。
此外,趨勢科技還挖掘了一個有趣的發現。研究時下載的二進制文件連接到C&C服務器95 [.] 215 [.] 62 [.] 169,與Mirai殭屍網絡的Satori變體有關。深入研究活動中涉及的兩個IP地址的GeoIP信息,發現它們位於歐洲; 西班牙95 [.] 215 [.] 62 [.] 169和荷蘭185 [.] 62 [.] 189 [.] 149。有理由相信同一作者背後有這個惡意軟件的樣本和Satori。
超過48,000個物聯網系統容易受到ADB的攻擊。並非所有易受攻擊的系統都會暴露,因為它們通常隱藏在具有網絡地址轉換(NAT)的路由器後面。然而,由於配置錯誤,可以將它們製成可訪問的手動或通過UPnP NAT穿越。無論用戶的密碼強度如何,所有多媒體設備,智能電視,移動電話和其他沒有額外保護的設備,此惡意軟件都可以輕鬆進攻。
輕鬆更改其移動設備設置的用戶可以進入設置,選擇“開發人員選項”並確保關閉“ADB(USB)調試”和“來自未知來源的應用程序”。默認情況下,後一個設置處於關閉狀態,但應進行雙重檢查以確保。如果用戶懷疑其設備已被感染,則執行恢復出廠設置可以清除有效負載。一般條件下,移動設備用戶應定期將其設備更新為最新版本。這些更新不僅可以改善其設備的功能,還可以解決攻擊者可以利用的漏洞。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
