长久以来,设备端口是否应该开放始终是一个备受争议的话题。趋势科技最近发现了一个与TCP端口5555紧密关联的问题,再一次将争议推至前台。
TCP端口5555旨在允许通过Android调试桥(ADB)管理设备,这是一种Android SDK功能,允许开发人员轻松地与设备通信并在其上运行命令或完全控制它们。但ADB端口应在商用设备上禁用,会要求启用初始USB连接。而如果制造商在发货之前打开了端口,就可能会使用户暴露给攻击者。
其实TCP端口遇到问题已经不是初次了,仅在今年就有一例:利用Mirai代码的修改版本的蠕虫曾搜索具有开放端口5555的设备,以进行挖掘加密币。
最近,趋势科技在7月9日至10日和7月15日检测到两个可疑的活动峰值后,发现了一个使用端口5555的新漏洞,第一波 络流量主要来自中国和美国,而第二波主要涉及韩国。
通过对 络数据包的分析,趋势科技确定恶意软件通过扫描的开放式ADB端口进行传播。它通过ADB连接删除第1阶段shell脚本,从而在目标系统上启动。该脚本下载了负责启动第3阶段二进制文件的两个第2阶段shell脚本。
在感染设备之后,恶意软件终止一系列进程并启动其自己的子进程,其中一个负责将恶意软件作为蠕虫传播。它还会打开与命令和控制(C&C)服务器的连接。
此有效载荷包含一个标头,其中包含要发送的目标数和IP数据包类型,这可能表明恶意软件旨在启动分布式拒绝服务(DDoS)攻击(它可以发送UDP,TCP SYN和TCP ACK数据包(随机有效载荷随机长度),UDP随机有效载荷通过通用路由封装(GRE)和TCP SYN进行隧道传输。
超过48,000个物联 系统容易受到ADB的攻击。并非所有易受攻击的系统都会暴露,因为它们通常隐藏在具有 络地址转换(NAT)的路由器后面。然而,由于配置错误,可以将它们制成可访问的手动或通过UPnP NAT穿越。无论用户的密码强度如何,所有多媒体设备,智能电视,移动电话和其他没有额外保护的设备,此恶意软件都可以轻松进攻。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!