微信号:AVLTeam

介绍:专注移动互联网安全,恶意代码分析/安全技术研究/行业生态等知识分享平台

【一周时讯技评】安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区|Apple应用下载网站被发现传播挖矿代码

2018-02-09 19:05 安天移动安全
一周时讯


本期安全时讯包括:安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区;Apple应用下载网站被发现传播挖矿代码;安全厂商揭示IoT僵尸网络JenX攻击活动;安全厂商揭示安卓色情诱导恶意软件攻击活动;CNCERT发布2017 Q4操作系统浏览器分析报告;国外安全厂商发布2018年网络安全威胁预测;2017年Android“间谍软件”年度总结报告发布。


安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区(更多解析可见文末#一周技评# 版块)

日前,国内某安全厂商检测到全球首个安卓平台挖矿蠕虫ADB.Miner,该恶意程序影响多款“ADB调试”开关打开的智能电视、电视盒子、机顶盒等等。这组恶意程序是专门在安卓设备后台“挖矿”的新型恶意程序,最早的感染时间可以回溯到2018年1月31日左右,其在24小时内感染近5千部设备,截止目前有超过7千部设备被感染,中国和韩国是本次蠕虫病毒的重灾区。

详情链接:

http://www.sohu.com/a/221466752_114778

Apple应用下载网站被发现传播挖矿代码

国外安全公司SentinelOne发现,Apple应用下载网站MacUpdate被用来传播挖掘Monero货币的恶意代码。研究人员将此恶意代码命名为OSX.CreativeUpdate,是用来挖矿的恶意代码,被设计运行在后台,并使用受感染计算机的CPU资源进行门罗币(Monero)开采,该恶意代码感染的应用程序包括Firefox、OnyX和Deeper。

详情链接:

https://blog.malwarebytes.com/threat-analysis/2018/02/new-mac-cryptominer-distributed-via-a-macupdate-hack/


安全厂商揭示IoT僵尸网络JenX攻击活动

国外安全厂商Radware发现一个名为JenX的IoT僵尸网络,该僵尸网络利用托管服务器来寻找和感染有CVE-2014-8631和CVE-2017-17215漏洞的设备。据Radware的调查,JenX的命令和控制(C&C)服务器被托管在“sancalvicie[.]com”域名下。其除了执行DDoS攻击外,还被用于开放式动作冒险游戏游戏《侠盗猎车手:圣安地列斯》的私服服务器。目前,该僵尸网络仍在增长中,用户需警惕。

详情链接:

https://blog.radware.com/security/2018/02/jenx-los-calvos-de-san-calvicie/


安全厂商揭示安卓色情诱导恶意软件攻击活动

国外安全厂商卡巴斯基近日发布的一份报告称,去年安卓系统用户中至少有120万人遭遇到了色情类恶意软件的攻击,占据了安卓设备上感染恶意软件用户总数的四分之一。研究发现了针对Android设备的23种完全不同类型的恶意软件家族,包括勒索病毒、木马等,它们均使用色情内容来隐藏自己的真实功能。卡巴斯基表示,其中许多恶意应用程序都来自第三方商店,而Google Play商店相对安全。

详情链接:

https://baijiahao.baidu.com/s?id=1591249982835602736&wfr=spider&for=pc


CNCERT发布2017 Q4操作系统浏览器分析报告

CNCERT近日发布《2017年第四季度国内操作系统及浏览器占比情况分析》,发现以下特点:1.通过移动终端上网的用户数量已远远超过通过PC终端上网的用户数量;2. PC端操作系统中,Windows操作系统仍占据绝对优势;移动端操作系统中,Android操作系统占比远远超过iOS操作系统;3. 使用Windows XP操作系统的终端数量占比较高,由于微软已在2014年4月8日停止Windows XP系统的更新,因此建议这部分用户尽早更新操作系统版本,以提高其安全性能,防患于未然;4. 使用Android操作系统的用户在系统更新实时性上远低于使用iOS操作系统的用户。

详情链接:

http://www.cert.org.cn/publish/main/68/index.html


国外安全厂商发布2018年网络安全威胁预测

近日,国外安全厂商趋势科技发布《2018年网络安全威胁预测》,报告指出:2018年,勒索软件商业模式仍将作为网络犯罪的一大核心支撑,其他形式的数字化扩张则将带来更多收益实现途径;网络犯罪分子将探索新的方式利用物联网设备为自身提供收益;全球商业邮件仿冒造成的损失在2018年将超过90亿美元;恶意攻击者将利用机器学习与区块链技术逃避检测。

详情链接:

https://www.anquanke.com/post/id/97809


2017年Android“间谍软件”年度总结报告发布

近日国内某安全厂商发布《2017年Android“间谍软件”年度总结报告》,数据显示,Android”间谍软件”样本数量近两年呈上升趋势,17年较16年上涨约20%;用户感染量上升幅度也极为明显,2017年已突破10万。报告指出移动端间谍软件的迅猛发展给网络安全带来的新挑战,将对终端用户、企业组织以及国家网络带来危害。

详情链接:

http://www.freebuf.com/articles/terminal/161839.html


一周技评

针对近日报道的“安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区”一则资讯,小编邀请安天移动安全技术专家就该安卓蠕虫的概况、感染方式、防范及警示意义进行点评,详情如下。


1、安卓蠕虫ADB.Miner是什么?

安卓蠕虫ADB.Miner是首次发现运行于智能设备利用安卓设备漏洞通过网络感染模式快速传播的恶意代码。其通过网络扫描主机方式,试探安卓设备的5555调试端口,对开放了该端口的设备进行远程连接,推送传播恶意代码到目标设备,替换设备系统文件常驻宿主,并消耗设备计算资源挖掘虚拟货币,谋取经济利益。从安天的监测数据来看,本月1日到4日期间5555端口上的扫描流量持续增长总量有放大趋势。仅4日,全国有约8000多个独立IP“肉鸡”与ADB.Miner指定的矿池相连。目前该次蠕虫事件经过网络应急处置和响应,已经度过爆发期。

2、安卓蠕虫ADB.Miner的感染方式是怎样的

 ADB是安卓系统的调试服务,5555端口是ADB调试服务默认的远程调试端口。ADB.Miner蠕虫通过扫描随机IP的5555端口,对开放的该端口的设备通过adb调试命令集合中的 connect命令进行远程连接,然后使用push/install命令推送恶意代码到设备中并执行,ADB.Miner通过替换设备中系统文件install-recovery.sh,ddexe,debuggerd达到在设备中常驻的目的,利用开源项目xmrig挖矿程序和coinhive 挖矿脚本进行XMR代币的挖掘,释放蠕虫模块“droidbot”继续进行对网络中设备的5555端口进行扫描和传播。

3、如何验证设备是否受安卓蠕虫ADB.Miner影响以及有哪些防护建议?

Android系统的网络蠕虫攻击模式与物联网恶意代码、挖矿利益等互相交织,公网Android系统和设备风险呈现日益严峻趋势,此次事件虽然已进行稳定期,但不排除单点事件的进一步发酵和类似事件爆发。我们可以通过以下方式进行验证和防护:

执行如下命令:adb connect <ip>(ip:测试设备的ip地址)

如果显示“connected to <ip>”,接着执行:adb devices,如果终端上列出了该设备的ID,则证明adb远程连接成功,即存在被攻击的风险;如果连接失败则提示”unable to connect to <ip>”,则证明不存在被此类蠕虫攻击的风险。

建议使用安卓系统的智能设备特别是直接部署在公网上的智能设备关闭ADB调试模式,若需要打开调试模式进行远程调试建议不要使用默认的5555端口,可以开启其他自定义的端口并对该端口的连接进行安全校验。

4、安卓蠕虫ADB.Miner事件给了我们怎样的警示?

安卓系统之前通常使用于智能手机、智能平板等个人终端场景,在引入到机顶盒等系统时,安全环境发生了明显变化,安全模型需要重新定义,安全防御措施也应针对性加强。此次事件针对的安全脆弱点正是没有关闭的调试端口。值得警示的是,网络中类似机顶盒等安卓智能设备已经广泛存在并日益增多,正逐渐构成网络基础设施的重要组成部分,应当尽快开展积极防御措施,应对潜在风险。

此次蠕虫事件也再次实证网络安全的本质是对抗。攻击者不断对手段和方式进行完善和升级,会针对整体网络中的新兴场景和关键脆弱点,开展攻击和渗透。网络系统维护者和防御方应当持续加强全域态势感知,及时侦测和发现新型威胁手段;持续开展网络安全检查,加强对关键基础设施的保护。


企业简介

武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。

2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。

2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。

公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。

官网:www.avlsec.com

电话:027-8768-8199

邮箱:cooperation@avlsec.com

 
AVLTeam 更多文章 【一周时讯技评】新型IoT僵尸网络HNS感染近2万设备|2017年谷歌从应用商店中移除70多万个恶意应用 安天移动安全荣获“光谷互联网+最具投资价值TOP10”奖项 【一周时讯技评】国外安全厂商揭示安卓间谍软件Skygofree|10亿IoT设备或被僵尸网络MiraiOkiru盯上 安天移动安全承办移动安全联盟第一次会员大会 安天移动安全荣获2017-2018年度湖北省优秀软件企业
猜您喜欢 完整Java开发中JDBC连接数据库代码和步骤 《互联网+创业相对论》摘抄 《职业竞争力测试表》统计结果 《学习之道》书摘2 数据挖掘十大算法