新闻快讯
< >

ADB.Miner挖矿僵尸网络感染迅速扩张:中国成重灾区

E安全2月13日讯 奇虎网络安全研究院的研究人员近日发现,一个名为“ADB.Miner”的挖矿僵尸网络正在迅速扩张,将目标瞄向打开 ADB 调试接口的安卓设备。中国和韩国沦为此次感染的重灾区。

ADB.Miner感染设备太快

研究人员表示,ADB.Miner 是一种新型的安卓蠕虫,该蠕虫可以借助安卓设备上已经打开的 adb 调试接口传播,初期传播的增速很快——约每12小时翻一番,仅用24小时就感染了超过5000台安卓设备,这些被感染的设备正在积极尝试传播恶意代码。

最早的感染时间可以回溯到2018年1月31日左右,2月3日15:00的流量达到平时的3倍,24:00达到平时的10倍。截至2月5日15:00,ADB.Miner.的日活感染量在增长到7千后不再快速增长,这个数字已经保持稳定了超过 20 小时,研究人员认为蠕虫已经过爆发期进入稳定期。受感染的设备主要分布在中国(39%,包括中国香港地区和中国台湾地区)和韩国(39%):


ADB.Miner挖矿僵尸网络感染迅速扩张:中国成重灾区-E安全


ADB.Miner 复用 Mirai 代码

研究人员指出,恶意代码复用了 Mirai 扫描阶段的代码,这是研究人员首次看到 Mirai 代码被复用攻击安卓设备,而不是 IoT 或联网设备。

将目标瞄向开启5555端口的安卓设备

经研究人员确认,被感染的设备均为安卓设备。进一步分析发现,部分设备是电视盒子,其他设备不能认定是何种设备,也不能确认是安卓手机。

端口5555是安卓设备上 ADB 调试接口的工作端口,这个端口正常情况下处于关闭的状态,但未知原因导致部分设备错误打开了该端口。研究人员分析ADB.Miner.样本后排除了该蠕虫从远程开启 ADB 调试接口的可能。设备在被感染以前都已开启5555端口。

ADB.Miner.核心功能:蠕虫式感染&挖矿

在本次事件中,研究人员共捕获9个样本。系列样本的核心功能是蠕虫 + 挖矿:

  • ADB.Miner样本具有蠕虫式感染功能:被感染设备会对外发起 TCP 5555 ADB 调试端口扫描,并尝试执行 ADB 命令把自身拷贝到新的感染设备。

  • 用户设备被感染后的核心功能就是利用窃取到的计算资源挖门罗币。

  • 该样本蠕虫的端口探测部分借鉴了 MIRAI 的 SYN 扫描模块以提高端口探测效率。

该蠕虫没有上联控制服务器,仅通过单一钱包地址获取收益。这种代码布局更加紧凑。一旦完成感染,该僵尸网络会部署恶意代码秘密进行门罗币的挖矿活动。研究人员指出,截至2月4日,黑客的钱包还没有收到矿池的付款。

挖矿僵尸网络悄然崛起

这并非首例黑客利用大规模僵尸网络挖矿的案例。上周,Proofpoint 的研究人员发现 Smominru 挖矿僵尸网络自2017年5月开始活跃,感染了超过52.6万台 Windows 主机,到目前为止赚取了价值超过245万美元的门罗币。

2017年底,研究人员发现基于Mirai僵尸网络的新型僵尸网络“Satori”将目标瞄向以太币矿机。2018年1月,Satori 的变种Satori.Coin.Robber 开始以 Claymore Miner 以太坊矿机为目标,通过攻击其3333 管理端口,替换钱包地址,以此将加密货币“收入囊中”。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。