长久以来,设备端口是否应该开放始终是一个备受争议的话题。趋势科技最近发现了一个与TCP端口5555紧密关联的问题,再一次将争议推至前台。
TCP端口5555旨在允许通过Android调试桥(ADB)管理设备,这是一种Android SDK功能,允许开发人员轻松地与设备通信并在其上运行命令或完全控制它们。但ADB端口应在商用设备上禁用,会要求启用初始USB连接。而如果制造商在发货之前打开了端口,就可能会使用户暴露给攻击者。
其实TCP端口遇到问题已经不是初次了,仅在今年就有一例:利用Mirai代码的修改版本的蠕虫曾搜索具有开放端口5555的设备,以进行挖掘加密币。
最近,趋势科技在7月9日至10日和7月15日检测到两个可疑的活动峰值后,发现了一个使用端口5555的新漏洞,第一波网络流量主要来自中国和美国,而第二波主要涉及韩国。
通过对网络数据包的分析,趋势科技确定恶意软件通过扫描的开放式ADB端口进行传播。它通过ADB连接删除第1阶段shell脚本,从而在目标系统上启动。该脚本下载了负责启动第3阶段二进制文件的两个第2阶段shell脚本。
在感染设备之后,恶意软件终止一系列进程并启动其自己的子进程,其中一个负责将恶意软件作为蠕虫传播。它还会打开与命令和控制(C&C)服务器的连接。
此有效载荷包含一个标头,其中包含要发送的目标数和IP数据包类型,这可能表明恶意软件旨在启动分布式拒绝服务(DDoS)攻击(它可以发送UDP,TCP SYN和TCP ACK数据包(随机有效载荷随机长度),UDP随机有效载荷通过通用路由封装(GRE)和TCP SYN进行隧道传输。
此外,趋势科技还挖掘了一个有趣的发现。研究时下载的二进制文件连接到C&C服务器95 [.] 215 [.] 62 [.] 169,与Mirai僵尸网络的Satori变体有关。深入研究活动中涉及的两个IP地址的GeoIP信息,发现它们位于欧洲; 西班牙95 [.] 215 [.] 62 [.] 169和荷兰185 [.] 62 [.] 189 [.] 149。有理由相信同一作者背后有这个恶意软件的样本和Satori。
超过48,000个物联网系统容易受到ADB的攻击。并非所有易受攻击的系统都会暴露,因为它们通常隐藏在具有网络地址转换(NAT)的路由器后面。然而,由于配置错误,可以将它们制成可访问的手动或通过UPnP NAT穿越。无论用户的密码强度如何,所有多媒体设备,智能电视,移动电话和其他没有额外保护的设备,此恶意软件都可以轻松进攻。
解决措施:轻松更改其移动设备设置的用户可以进入设置,选择“开发人员选项”并确保关闭“ADB(USB)调试”和“来自未知来源的应用程序”。默认情况下,后一个设置处于关闭状态,但应进行双重检查以确保。如果用户怀疑其设备已被感染,则执行恢复出厂设置可以清除有效负载。一般条件下,移动设备用户应定期将其设备更新为最新版本。这些更新不仅可以改善其设备的功能,还可以解决攻击者可以利用的漏洞。