想必大家近期都有看到一則報道,比特幣價格腰斬,蒸發1萬億。
雖然比特比價格低迷,但是還是有很多人利用各種完全不同的方法在進行著各種挖礦行為,而這其中就可能有你的手機,這並不是危言聳聽。
接下來就給大家說一說最近我看到的一篇新聞《安卓平臺挖礦蠕蟲ADB.Miner勃然而興,中韓兩國成為重災區》
自2018年2月3日 15.00開始,一段惡意代碼開始了蠕蟲式傳播,危險漫步也以最快的方式開始分析這段惡意代碼帶來的安全威脅。
經過這幾天的分析我得到了以下的結論:
感染端口為:5555,是安卓設備上 adb 調試接口的工作端口,這個端口在正常情況下應該被關閉,但是挖礦這個巨大的利益鏈條的驅動下,大量的安卓設備因為“未知原因”導致部分設備錯誤的打開了這個端口。
蠕蟲式感染:惡意代碼在完成植入後,會繼續掃描 5555 adb 端口,完成自身的傳播
感染設備型號:目前能夠確認的設備型號見後,大部分是智能手機,以及智能電視機頂盒
感染設備數量:2.75 ~ 5k,主要分佈在中國(~40%)和韓國(~30%)
另外危險漫步還發現,惡意代碼複用了 mirai在掃描階段的代碼,這是我第一次看到 mirai 代碼被安卓蠕蟲複用,不得不說在技術革新上又是光輝的一筆,如果這個不是運用在惡意代碼上的話會好很多。
同時由於android 系統 adb 調試接口的惡意代碼目前正在蠕蟲式積極傳播,所以至今已經感染了多少臺設備,這個目前危險漫步還不得而知。
從2月3日開始,我就發現5555端口的掃描流量在急速增加
從上圖各位就能夠看得出來流量增長的速度,幾乎就是呈幾何式增長
目前5555的端口流量已經排在所有端口流量的前十了,這是一個全新的端口。上次發生這個情況是mirai殭屍網絡開始擴散。
5555 端口上掃描來源的獨立IP地址,按照不同口徑統計,有2.75 ~5.5k,這個數字正在快速增長中,兩個來源的情況見後:
來自 scanmon的統計數字: 2.75k,主要來自中國(40%)和韓國(31%)。
來自我們的殭屍網絡跟蹤系統的統計數字: 5.5k
受感染設備主要是各廠商開放了 adb 調試接口的安卓設備
受感染設備正在積極的嘗試投遞惡意代碼。我們從這些惡意代碼中分析發現,大部分來源設備基於 android 操作系統。
具體被感染設備機型暫時不予公開,目前看,因為各主要廠商均涉及,並且同時涉及智能手機和智能電視(電視機頂盒?),我們傾向排除廠商級別漏洞的可能性。
惡意代碼在利用這些設備挖礦
相關的惡意代碼有一組,其中xmrig 相關惡意樣本會參與挖取 XMR 代幣。相關的配置有兩組,基於兩個不同礦池,但是共享了同一個錢包地址:
礦池地址:pool.monero.hashvault.pro:5555或者 pool.minexmr.com:7777
錢包地址(礦池賬號):44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr
礦池密碼:x
目前為止,上述錢包還沒有收到礦池的第一筆付款:
就上述情況來看,可以斷定,這款惡意代碼正在以蠕蟲式的傳播速度在進行著傳播。
目前分析和防禦策略還在緊鑼密鼓的進行中。這段時間各大廠商估計也沒有心思回味年味了,肯定都是在緊鑼密鼓的忙活著如何解決這個惡意代碼,不再讓他持續擴散吧~~
最終誰能拔得頭籌就讓我們拭目以待吧~~
最後:推薦下載一個很靠譜的個人手機挖礦app 公信寶布洛克城 攢的多了可以換人民幣哦~掃碼下載~
閱讀更多 黑客在思考 的文章
