想必大家前段时间都有看到一则报道,比特币价格腰斩,蒸发1万亿。
虽然比特比价格低迷,但是还是有很多人利用各种完全不同的方法在进行着各种挖矿行为,而这其中就可能有你的手机,这并不是危言耸听。
接下来就给大家说一说最近我看到的一篇新闻《安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区》
自2018年2月3日 15.00开始,一段恶意代码开始了蠕虫式传播,危险漫步也以最快的方式开始分析这段恶意代码带来的安全威胁。
经过这几天的分析我得到了以下的结论:
感染端口为:5555,是安卓设备上 adb 调试接口的工作端口,这个端口在正常情况下应该被关闭,但是挖矿这个巨大的利益链条的驱动下,大量的安卓设备因为“未知原因”导致部分设备错误的打开了这个端口。
蠕虫式感染:恶意代码在完成植入后,会继续扫描 5555 adb 端口,完成自身的传播
感染设备型号:目前能够确认的设备型号见后,大部分是智能手机,以及智能电视机顶盒
感染设备数量:2.75 ~ 5k,主要分布在中国(~40%)和韩国(~30%)
另外危险漫步还发现,恶意代码复用了 mirai在扫描阶段的代码,这是我第一次看到 mirai 代码被安卓蠕虫复用,不得不说在技术革新上又是光辉的一笔,如果这个不是运用在恶意代码上的话会好很多。
同时由于android 系统 adb 调试接口的恶意代码目前正在蠕虫式积极传播,所以至今已经感染了多少台设备,这个目前还不得而知。
从2月3日开始,我就发现5555端口的扫描流量在急速增加
从上图各位就能够看得出来流量增长的速度,几乎就是呈几何式增长
目前5555的端口流量已经排在所有端口流量的前十了,这是一个全新的端口。上次发生这个情况是mirai僵尸网络开始扩散。
5555 端口上扫描来源的独立IP地址,按照不同口径统计,有2.75 ~5.5k,这个数字正在快速增长中,两个来源的情况见后:
来自 scanmon的统计数字: 2.75k,主要来自中国(40%)和韩国(31%)。
来自我们的僵尸网络跟踪系统的统计数字: 5.5k
受感染设备主要是各厂商开放了 adb 调试接口的安卓设备
受感染设备正在积极的尝试投递恶意代码。我们从这些恶意代码中分析发现,大部分来源设备基于 android 操作系统。
具体被感染设备机型暂时不予公开,目前看,因为各主要厂商均涉及,并且同时涉及智能手机和智能电视(电视机顶盒?),我们倾向排除厂商级别漏洞的可能性。
恶意代码在利用这些设备挖矿
相关的恶意代码有一组,其中xmrig 相关恶意样本会参与挖取 XMR 代币。相关的配置有两组,基于两个不同矿池,但是共享了同一个钱包地址:
矿池地址:pool.monero.hashvault.pro:5555或者 pool.minexmr.com:7777
钱包地址(矿池账号):44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr
矿池密码:x
目前为止,上述钱包还没有收到矿池的第一笔付款:
就上述情况来看,可以断定,这款恶意代码正在以蠕虫式的传播速度在进行着传播。
目前分析和防御策略还在紧锣密鼓的进行中。这段时间各大厂商估计也没有心思回味年味了,肯定都是在紧锣密鼓的忙活着如何解决这个恶意代码,不再让他持续扩散吧~~
最终谁能拔得头筹就让我们拭目以待吧~~
我打算继续收徒,以满足大家的需求,也多多的为以后积累人脉基础,因为以前收的徒弟中不乏现在混得蛮不错的,而且我本身也蛮喜欢教会别人东西的那份喜悦感,顺便还能赚个零花钱~~~
我正在「黑客在思考」和朋友们讨论有趣的话题,你⼀起来吧?
https://t.zsxq.com/zFUZRnu
也分享区块链投资知识
閱讀更多 黑客在思考 的文章
