[讨论]【一周时讯技评】安卓平台挖矿蠕虫ADB.Miner勃然而兴，中韩两国成为重灾区|Apple应用下载网站被发现传播挖矿代码

发表于: 2018-2-10 10:26 2427

[讨论]【一周时讯技评】安卓平台挖矿蠕虫ADB.Miner勃然而兴，中韩两国成为重灾区|Apple应用下载网站被发现传播挖矿代码

AVLTeam

2018-2-10 10:26

2427

一周时讯

本期安全时讯包括：安卓平台挖矿蠕虫ADB.Miner勃然而兴，中韩两国成为重灾区；Apple应用下载网站被发现传播挖矿代码；安全厂商揭示IoT僵尸网络JenX攻击活动；安全厂商揭示安卓色情诱导恶意软件攻击活动；CNCERT发布2017 Q4操作系统浏览器分析报告；国外安全厂商发布2018年网络安全威胁预测；2017年Android“间谍软件”年度总结报告发布。

安卓平台挖矿蠕虫ADB.Miner勃然而兴，中韩两国成为重灾区（更多解析可见文末#一周技评# 版块）

日前，国内某安全厂商检测到全球首个安卓平台挖矿蠕虫ADB.Miner，该恶意程序影响多款“ADB调试”开关打开的智能电视、电视盒子、机顶盒等等。这组恶意程序是专门在安卓设备后台“挖矿”的新型恶意程序，最早的感染时间可以回溯到2018年1月31日左右，其在24小时内感染近5千部设备，截止目前有超过7千部设备被感染，中国和韩国是本次蠕虫病毒的重灾区。

详情链接：

24bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4G2K9s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6S2i4K6u0r3x3U0t1I4y4o6j5$3y4K6f1J5i4K6g2X3x3e0p5@1y4K6M7^5

Apple应用下载网站被发现传播挖矿代码

国外安全公司SentinelOne发现，Apple应用下载网站MacUpdate被用来传播挖掘Monero货币的恶意代码。研究人员将此恶意代码命名为OSX.CreativeUpdate，是用来挖矿的恶意代码，被设计运行在后台，并使用受感染计算机的CPU资源进行门罗币（Monero）开采，该恶意代码感染的应用程序包括Firefox、OnyX和Deeper。

详情链接:

9dfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2L8h3q4D9N6$3q4J5k6h3u0&6N6r3g2K6i4K6u0W2j5$3!0E0i4K6u0r3N6r3S2J5k6h3q4@1i4K6u0V1j5h3&6S2L8s2W2K6K9i4y4Q4x3V1j5J5x3o6p5^5i4K6u0r3x3o6u0Q4x3V1k6F1k6i4N6Q4x3X3c8E0j5h3y4Q4x3X3c8U0M7Y4W2H3N6r3!0E0K9h3&6W2M7W2)9J5k6r3c8A6M7%4c8J5K9h3u0#2N6r3g2V1i4K6u0V1N6X3W2S2i4K6u0V1j5g2)9J5k6r3#2S2j5%4g2H3k6r3q4@1k6g2)9J5k6r3S2S2j5$3E0Q4x3V1j5`.

安全厂商揭示IoT僵尸网络JenX攻击活动

国外安全厂商Radware发现一个名为JenX的IoT僵尸网络，该僵尸网络利用托管服务器来寻找和感染有CVE-2014-8631和CVE-2017-17215漏洞的设备。据Radware的调查，JenX的命令和控制（C&C）服务器被托管在“sancalvicie[.]com”域名下。其除了执行DDoS攻击外，还被用于开放式动作冒险游戏游戏《侠盗猎车手：圣安地列斯》的私服服务器。目前，该僵尸网络仍在增长中，用户需警惕。

详情链接：

0e3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2M7X3q4V1N6$3q4J5k6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3x3U0l9I4z5q4)9J5c8U0l9J5i4K6u0r3K9X3g2F1P5q4)9J5k6r3I4G2M7#2)9J5k6r3y4S2L8s2k6G2M7#2)9J5k6r3c8W2i4K6u0V1M7$3q4F1i4K6u0V1j5$3q4D9N6X3W2U0K9h3g2Q4x3V1j5`.

安全厂商揭示安卓色情诱导恶意软件攻击活动

国外安全厂商卡巴斯基近日发布的一份报告称，去年安卓系统用户中至少有120万人遭遇到了色情类恶意软件的攻击，占据了安卓设备上感染恶意软件用户总数的四分之一。研究发现了针对Android设备的23种完全不同类型的恶意软件家族，包括勒索病毒、木马等，它们均使用色情内容来隐藏自己的真实功能。卡巴斯基表示，其中许多恶意应用程序都来自第三方商店，而Google Play商店相对安全。

详情链接：

a8bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1j5h3W2B7K9h3q4Z5j5h3!0Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3@1k6A6k6q4)9K6c8o6p5#2z5e0p5J5y4o6V1&6z5o6t1^5x3K6f1$3x3o6t1%4x3K6k6Q4x3U0k6S2L8i4m8Q4x3@1u0%4k6Y4u0Q4x3@1c8K6M7r3W2V1k6i4u0Q4x3U0k6S2L8i4m8Q4x3@1u0X3L8%4u0Q4x3@1c8H3j5H3`.`.

CNCERT发布2017 Q4操作系统浏览器分析报告

CNCERT近日发布《2017年第四季度国内操作系统及浏览器占比情况分析》，发现以下特点：1.通过移动终端上网的用户数量已远远超过通过PC终端上网的用户数量；2. PC端操作系统中，Windows操作系统仍占据绝对优势；移动端操作系统中，Android操作系统占比远远超过iOS操作系统；3. 使用Windows XP操作系统的终端数量占比较高，由于微软已在2014年4月8日停止Windows XP系统的更新，因此建议这部分用户尽早更新操作系统版本，以提高其安全性能，防患于未然；4. 使用Android操作系统的用户在系统更新实时性上远低于使用iOS操作系统的用户。

详情链接：

c4bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4W2M7Y4c8Q4x3X3g2G2M7X3N6Q4x3X3g2U0L8W2)9J5c8Y4m8#2j5X3I4A6M7$3S2Q4x3V1k6E0j5h3W2F1i4K6u0r3y4U0S2Q4x3V1k6A6L8X3c8W2P5q4)9J5k6h3S2@1L8h3H3`.

国外安全厂商发布2018年网络安全威胁预测

近日，国外安全厂商趋势科技发布《2018年网络安全威胁预测》，报告指出：2018年，勒索软件商业模式仍将作为网络犯罪的一大核心支撑，其他形式的数字化扩张则将带来更多收益实现途径；网络犯罪分子将探索新的方式利用物联网设备为自身提供收益；全球商业邮件仿冒造成的损失在2018年将超过90亿美元；恶意攻击者将利用机器学习与区块链技术逃避检测。

详情链接：

393K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2L8Y4q4#2j5h3&6C8k6g2)9J5k6h3y4G2L8g2)9J5c8Y4m8G2M7%4c8Q4x3V1k6A6k6q4)9J5c8U0V1%4z5o6l9&6

2017年Android“间谍软件”年度总结报告发布

近日国内某安全厂商发布《2017年Android“间谍软件”年度总结报告》，数据显示，Android”间谍软件”样本数量近两年呈上升趋势，17年较16年上涨约20%；用户感染量上升幅度也极为明显，2017年已突破10万。报告指出移动端间谍软件的迅猛发展给网络安全带来的新挑战，将对终端用户、企业组织以及国家网络带来危害。

详情链接：

156K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4c8W2M7X3#2A6L8X3q4D9i4K6u0r3x3e0j5I4z5o6x3&6i4K6u0W2K9s2c8E0L8l9`.`.

一周技评

针对近日报道的“安卓平台挖矿蠕虫ADB.Miner勃然而兴，中韩两国成为重灾区”一则资讯，小编邀请安天移动安全技术专家就该安卓蠕虫的概况、感染方式、防范及警示意义进行点评，详情如下。

1、安卓蠕虫ADB.Miner是什么？

安卓蠕虫ADB.Miner是首次发现运行于智能设备利用安卓设备漏洞通过网络感染模式快速传播的恶意代码。其通过网络扫描主机方式，试探安卓设备的5555调试端口，对开放了该端口的设备进行远程连接，推送传播恶意代码到目标设备，替换设备系统文件常驻宿主，并消耗设备计算资源挖掘虚拟货币，谋取经济利益。从安天的监测数据来看，本月1日到4日期间5555端口上的扫描流量持续增长总量有放大趋势。仅4日，全国有约8000多个独立IP“肉鸡”与ADB.Miner指定的矿池相连。目前该次蠕虫事件经过网络应急处置和响应，已经度过爆发期。

2、安卓蠕虫ADB.Miner的感染方式是怎样的？

ADB是安卓系统的调试服务，5555端口是ADB调试服务默认的远程调试端口。ADB.Miner蠕虫通过扫描随机IP的5555端口，对开放的该端口的设备通过adb调试命令集合中的 connect命令进行远程连接，然后使用push/install命令推送恶意代码到设备中并执行，ADB.Miner通过替换设备中系统文件install-recovery.sh,ddexe,debuggerd达到在设备中常驻的目的，利用开源项目xmrig挖矿程序和coinhive 挖矿脚本进行XMR代币的挖掘，释放蠕虫模块“droidbot”继续进行对网络中设备的5555端口进行扫描和传播。

3、如何验证设备是否受安卓蠕虫ADB.Miner影响以及有哪些防护建议？

Android系统的网络蠕虫攻击模式与物联网恶意代码、挖矿利益等互相交织，公网Android系统和设备风险呈现日益严峻趋势，此次事件虽然已进行稳定期，但不排除单点事件的进一步发酵和类似事件爆发。我们可以通过以下方式进行验证和防护：

执行如下命令：adb connect <ip>（ip：测试设备的ip地址）

如果显示“connected to<ip>”,接着执行：adb devices，如果终端上列出了该设备的ID，则证明adb远程连接成功，即存在被攻击的风险；如果连接失败则提示”unable to connect to <ip>”，则证明不存在被此类蠕虫攻击的风险。

建议使用安卓系统的智能设备特别是直接部署在公网上的智能设备关闭ADB调试模式，若需要打开调试模式进行远程调试建议不要使用默认的5555端口，可以开启其他自定义的端口并对该端口的连接进行安全校验。

4、安卓蠕虫ADB.Miner事件给了我们怎样的警示？

安卓系统之前通常使用于智能手机、智能平板等个人终端场景，在引入到机顶盒等系统时，安全环境发生了明显变化，安全模型需要重新定义，安全防御措施也应针对性加强。此次事件针对的安全脆弱点正是没有关闭的调试端口。值得警示的是，网络中类似机顶盒等安卓智能设备已经广泛存在并日益增多，正逐渐构成网络基础设施的重要组成部分，应当尽快开展积极防御措施，应对潜在风险。

此次蠕虫事件也再次实证网络安全的本质是对抗。攻击者不断对手段和方式进行完善和升级，会针对整体网络中的新兴场景和关键脆弱点，开展攻击和渗透。网络系统维护者和防御方应当持续加强全域态势感知，及时侦测和发现新型威胁手段；持续开展网络安全检查，加强对关键基础设施的保护。

转载请注明来源：

24aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2H3i4K6u0W2N6$3g2A6P5r3W2F1i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3M7e0S2Z5y4p5b7H3K9X3!0W2i4K6u0V1d9s2N6Q4x3X3c8^5d9e0g2K9g2V1#2q4j5g2p5`.

更多资讯敬请关注安天移动安全官方微信！