一款新的门罗币挖矿恶意软件攻击安卓设备,电视盒子

· 2020-02-06 12:02

360网络安全研究院监测发现,ADB.Miner蠕虫的传播速度大概在每12小时翻一倍,统计数据显示,2月4日12时大概看到有2700部设备被感染,而到当日午夜时这个数字已达到 5800。感染数字在2月5日15时左右达到7000后,已经维持了大约20小时不再上升,可以认为目前蠕虫已经度过了爆发期,进入平稳期。

你可以通过检测/data/local/tmp/sss文件是否存来检测设备是否存在挖矿行为。

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的21%,比1月份下降4%;其次为浙江、北京、四川和湖北。此外江苏、山东、上海、福建、山西的木马远控拦截量也排在前列。

据360发布的博客,加密货币挖矿病毒ADM矿工已从2月5日就开始频繁攻击设备,设法潜入7000部安卓设备,以中国和韩国为主。研究者强调,病毒ADB矿工的传播速度很快,每12个小时就有两倍的扫描设备中毒。

1. 如果发现家中安卓设备出现发烫、卡慢的情况,及时查看并确保安卓设备的ADB调试处于关闭状态,可在设置-系统-开发者选项-网络ADB调试中查看;

李丰沛表示,2018年挖门罗币将成为黑产军团窃取利益的常用手段,用户需要时刻保持警惕。

图片 1

该恶意软件正通过开放的Android调试桥(ADB)在一个开放的端口5555上传播,其正常情况下是闭合的。研究的现阶段是,安全专家称,他们“不清楚这个端口是如何以及何时打开的”。

360网络安全研究院安全专家建议用户:

此前从未发生过安全问题的电视盒子正在成为黑产军团新的目标。

图片 2

图片 3

图片 4

ADB.Miner的代码非常简单,犯罪成本也非常低,截至目前连一个门罗币都没有挖到,但已经有黑产军团通过挖门罗币赚到了大笔收益。

1 本月漏洞收集情况

正如360所报道的,这款恶意软件病毒能够影响任何一种安卓设备,包括智能手机,平板和电视,使得这些被攻击的设备将挖取到的所有门罗币发送到一个钱包。

2017年以来,区块链和虚拟货币的爆火使得全球范围内的虚拟货币价格持续走高,因此引发了一阵“挖矿热”。除了常规的通过矿机挖矿外,还有一些人萌生了借助挖矿病毒闷声发大财的想法,也就是通过传播病毒,把普通用户的手机变成免费的“矿机”,最大限度降低挖矿成本。

360威胁情报中心等多个部门监测到的信息显示,1月31日始出现一种新的安卓蠕虫ADB.Miner,核心功能是蠕虫+挖矿,该蠕虫可借助安卓设备上已经打开的adb调试接口传播,且初期传播的增速很快,约每12小时翻一番。

建议关注操作系统和组件重大更新,如“永恒之蓝”漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。

Coinhive是专门提供一个用来挖矿的JS引擎,在被攻击网站上的网页内嵌一段JS代码,只要有人访问被攻击网站,挖矿程序就会在网民的电脑上工作,占用大量的系统资源,导致CPU利用率突然提升,甚至100%!不但被攻击网站是受害者,普通网民也是受害者。

智能电视也沦为“矿机”

挖矿劫持成网络黑产新手段

2 篡改攻击情况统计

本文来源于cointelegraph,译者:Swieer

3.避免下载安全性未知的应用;

MyKings是一个由多个子僵尸网络构成的多重僵尸网络,扫描互联网上1433及其他多个端口,并在渗透进入受害者主机后传播包括DDoS、Proxy、RAT、Miner在内的多种不同用途的恶意代码。

图片 5

上周,Cointelegraph报道了另一则恶意软件挖取门罗币的新闻,自从去年5月份,Smorinru僵尸网络已经成功挖取9000多个门罗币。在这之前,1月26日,恶意软件通过在线广告提供Coinhive密码的服务,攻击用户的电脑,因此全球大量的用户和网站受到影响。

5555 端口是安卓设备上 ADB调试接口的工作端口,正常状态下应该处于关闭状态,但未知原因导致部分设备错误的打开了该端口,ADB.Miner便通过这一端口入侵用户的手机。

2017年4月以来,MyKings一次性投入了超过7万元人民币,赚到了8000枚门罗币。以当前门罗币200.61美元的价格计算,MyKings已经获取了超过1000万元的收益。

主动进行安全评估,加强人员安全意识

中国网络安全公司360在2月6日在一篇博客中提到,360网络实验室(360Netlab)的研究人员已经发现了一款针对安卓新的加密货币挖矿恶意软件。该恶意软件感染易受攻击的Android设备,用于挖取加密货币。

图片 6

2月5日下午,ADB.Miner感染设备数达到峰值,日活感染量增长到7千左右,已经维持了48小时,不再快速增长。

2月,深信服安全云脑累计发现:

2016年8月全球首次大规模物联网攻击的“美国东海岸断网”事件,就是由360网络安全研究院的蜜罐系统首次监测发现的。360监测出现的网络流量异常,最终被证实是一个快速蔓延的僵尸网络Mirai。也正是由于这次事件的协助调查分析,案件告破后,360获得FBI的公开致谢。

从感染设备上,ADB.Miner的影响并不是很大,但它是一次有里程碑意义的蠕虫感染。因为这是第一次在实际环境中因为5555 adb端口打开导致了问题,后续可能有更多黑产军团会钻这个漏洞。

2019年2月深信服安全云脑检测到蠕虫病毒样本1185个,共拦截8901万次,但通过数据统计分析来看,大多数攻击都是来自于Gamarue、Jenxcus、Dorkbot、Mydoom、Palevo、Vobfus、Buzus、Phorpiex、Ngrbot家族,这些家族占据了2月全部蠕虫病毒攻击的98.8%,其中攻击态势最活跃的蠕虫病毒是Gamarue,占蠕虫病毒攻击总量的85%。

2. ADB接口功能相当丰富,其中文件上传功能及shell指令为蠕虫的繁殖和运行提供了便利。

ADB.Miner主要窃取设备的算力,感染ADB.Miner的设备会通过偷跑程序或者打开网页的方式挖门罗币,但不易被发现。如果你的电视盒子突然出现卡顿,那要注意了。

图片 7

ADB是连接安卓设备与PC端的桥梁,可以让用户在电脑上对设备进行全面的操作,是安卓系统为方便软件开发者提供的一种调试接口,一般情况下软件开发人员是通过启用USB调试选项来使用这种接口的。但事实上,这种接口可以直接绑定到网络端口上。一旦被绑定到网络端口,攻击者就可以在不借助物理接触的前提下,远程操作安卓设备。

主要有两方面的原因:一方面,门罗币挖矿的成本较低,在当前挖矿成本渐涨、代币币值不稳的趋势下,挖矿成本低能更好地保证收益;另一方面,因为门罗币具备很高的隐秘性,只有交易双方能看到具体交易金额,不易追踪。

图片 8

2.尽量避免root手机;

ADB.Miner主要的受害者分布在中国和韩国。

图片 9

1. ADB.Miner蠕虫摆脱了通过“短信息/垃圾邮件”等社交诱骗的传播方式,而是直接从ADB接口感染和传播。

▲端口5555上的感染趋势。

图片 10

中新网2月6日电 日前,360网络安全研究院监测到全球首个安卓平台挖矿蠕虫ADB.Miner,该恶意程序影响多款“ADB调试”开关打开的智能电视、电视盒子、机顶盒等等。这组恶意程序并不是传统的安卓病毒,而是专门在安卓设备后台“挖矿”的新型恶意程序,24小时内就有5千部设备被感染,截止目前有超过七千部设备被感染,中国和韩国是本次蠕虫病毒的重灾区。

▲颜色越深代表受感染设备越多。

行业分布上,企业、政府及教育行业是木马远控病毒的主要攻击对象。其中企业占TOP10拦截量的32%,较1月份基本持平。

4.使用360手机卫士等安全软件防范恶意程序。

5555是安卓设备上adb调试接口的工作端口,这个端口正常应该被关闭,但部分设备打开了该端口。

深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受“永恒之蓝”影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

360近期发布的《安卓平台挖矿木马研究报告》称:从2013年开始至2018年1月,360烽火实验室共捕获安卓平台挖矿木马1200余个。仅2018年1月,就捕获安卓平台挖矿木马近400个,占全部安卓平台挖矿类木马近三分之一。可以看出,安卓平台的挖矿木马正呈现爆发式增长。

多数挖矿蠕虫都把目标瞄准门罗币。

深信服安全云脑2月检测到木马远控病毒样本5320个,共拦截15271万次,拦截量较1月下降22%。其中最活跃的木马远控家族是Zusy,拦截数量达2405万次,其次是XorDDos、Injector。Glupteba病毒感染趋势下降,本月拦截量占木马远控病毒的比例为7.38%。

360网络安全研究院监测发现,5555 端口上的扫描流量从2月3日下午15:00左右,开始达到日常数据的3倍,24:00左右到达10倍。这种异常现象,一般都预示着有新型的僵尸、蠕虫或新的网络事件出现,在进一步挖掘求证之后,360网络安全研究院发现了ADB.Miner蠕虫。

刷过机的安卓设备可能中招

2019年2月,共检测到活跃勒索病毒样本量115个。其中,Wannacry、Razy、Gandcrab、Revenge、Teslacrypt、Locky、Mamba等依然是最活跃的勒索病毒家族,其中Wannacry家族本月拦截数量有1156万次,危害依然较大。

从大门溜进的病毒

李丰沛提醒用户,最保险的做法就是检测一下自己的安卓设备,确保5555 adb端口处于关闭状态。

监控在线业务5870个,共有249个在线业务发生过真实篡改,篡改占比高达4.24%。恶意程序活跃详情

  1. 在传播中,ADB.Miner复用了MIRAI中 SYN扫描模块的代码,试图加速对 5555 端口开放情况的探测过程,以便提高传播速度。值得注意的是,这也是MIRAI的代码第一次被用安卓设备上的恶意代码中。

目前确认感染ADB.Miner都是安卓设备,根据360的抽样,有一半设备是电视盒子,另一部分设备不能确认。

2019年2月,病毒攻击的态势在本月有所缓解,病毒拦截量比1月份下降近20%,近半年拦截恶意程序数量趋势如下图所示:

避免成为挖矿劳工 360提供防御办法

目前360安全团队还在和设备厂商确认ADB.Miner感染的行为。虽然当前这个蠕虫并未带来实质性的伤害,但未来其它恶意代码还是有读取照片、安装运行程序、读取联系人信息的风险。

从感染地域上看,广东地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10比例的33%;其次为江苏省、湖南省。

而通过蠕虫式传播的挖矿恶意程序ADB.Miner,则大大提高了传播速度。

360网络安全研究院研究员李丰沛告诉PingWest品玩,最可能的原因是一些用户刷机时打开了5555 adb端口,刷完机之后忘记关闭。

深信服全网安全态势感知平台对国内已授权的6996个站点进行漏洞监控,发现:

一旦感染ADB.Miner,用户的安卓设备将变成“矿机”,内部大量资源被恶意占用,耗电量也会大幅上升,致使安卓设备卡慢、发烫。如果恶意程序在手机中持续不断地“挖矿”,用户手机电池极有可能损坏,造成手机报废。更值得注意的是,该恶意程序还具有root权限,存在更严重的安全隐患。

2019年2月,整体而言互联网网络安全状况指标平稳,但依然面临着严峻的考验。一方面,老病毒和漏洞经久不衰,新的安全事件层出不穷,利用“驱动人生”供应链传播的木马病毒升级变异,以及WinRAR压缩软件曝出高危漏洞,影响范围广泛;另一方面,被攻击的设备场景影响不断扩大,包括NVR设备场景、IoT设备场景等都面临着被病毒进一步入侵的风险。但监测数据显示,网站攻击和网站漏洞数量连续多个月上升之后在本月放缓。

2019年2月,深信服安全云脑共拦截挖矿病毒9.16亿次,比一月份下降14%,其中最为活跃的挖矿病毒家族是Xmrig、Wannamine、Minepool、Bitcoinminer、Zombieboyminer、Falsesign,特别是Xmrig家族,共拦截4.12亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东、浙江、北京等地,其中广东省感染量依然是全国第一,感染比例上升1%。

3 高危漏洞攻击趋势跟踪

通过对云脑日志数据分析,针对漏洞的攻击情况筛选初本月攻击利用次数TOP20的漏洞。

图片 11

2 感染性病毒活跃状况

图片 12

杜绝使用弱口令,避免一密多用

图片 13

安全防护建议

5 勒索病毒活跃状况

2月共监控在线业务5870个,共检测到249个网站发生真实篡改,篡改总发现率高达4.24%。

图片 14

图片 15

其中博彩、色情、游戏类篡改是黑帽SEO篡改的主流类型。相比过去,医疗、代孕广告类数量减少,可能和监管机关对非正规医疗机构推广限制有关。

网络安全漏洞分析

图片 16

网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。深信服下一代安全防护体系(深信服安全云、深信服下一代防火墙AF、深信服安全感知平台SIP、深信服终端检测与响应平台EDR)通过联动云端、网络、终端进行协同响应,建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源,深度挖掘用户潜在威胁,立体全方位确保用户网络安全。

网络安全状况概述

图片 17

图片 18

2 全国网站漏洞类型统计

从勒索病毒倾向的行业来看,企业和政府感染病毒数量占总体的52%,是黑客最主要的攻击对象,具体活跃病毒行业分布如下图所示:

4 蠕虫病毒活跃状况

Struts 2系列漏洞攻击趋势跟踪情况

图片 19

建立威胁情报分析和对抗体系,有效防护病毒入侵

其中攻击次数前三的漏洞分别是test.php、test.aspx、test.asp等文件访问检测漏洞、服务器目录浏览禁止信息泄露漏洞和Apache Web Server ETag Header信息泄露漏洞,攻击次数分别为59,185,795、20,276,680和18,424,531。

恶意攻击14.1亿次,平均每天拦截恶意程序5037万次。

2月总计拦截恶意程序14.1亿次,比1月份下降20%,其中挖矿病毒的拦截量占比65%,其次是感染型病毒、木马远控病毒、蠕虫、后门软件,具体分布如下图所示:

深信服云眼网站安全监测平台在2月对国内已授权的6966个站点进行漏洞监控,发现的高危站点2463个,高危漏洞5888个,漏洞类别占比前三的分别是点击劫持、CSRF跨站请求伪造和信息泄露。高危漏洞类型分布如下:

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示本月现网的攻击趋势:攻击类型分布

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是福建省和浙江省。网络安全攻击趋势分析

具体比例如下:

2019年2月深信服安全团队通过自动化手段筛选并收录国内外重点漏洞168条,包含34条0day漏洞。二月漏洞收集数量较1月相比有所上升。

图片 20

黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段就是发现和修复漏洞,深信服建议用户做好以下防护措施:

活跃恶意程序15961个,其中感染性病毒6836个,占比42.83%;木马远控病毒5320个,占比33.33%。挖矿病毒种类443个,拦截次数9.16亿次,较之前有所下降,其中Xmrig病毒家族最为活跃。

2019年2月,深信服安全云脑检测并捕获感染性病毒样本6836个,共拦截19147万次。其中Virut家族是成为本月攻击态势最为活跃的感染性病毒家族,共被拦截8418万次,此家族占了所有感染性病毒拦截数量的44%;而排名第二第三的是Ramnit和Sality家族,本月拦截比例分别是为37%和11%。

及时更新重要补丁和升级组件

图片 21

图片 22

2019年2月,深信服安全云脑检测到的活跃恶意程序样本有15961个,较1月份明显下降,其中感染性病毒6836个,占比42.83%;木马远控病毒5320个,占比33.33%,挖矿病毒443个,占比1.37%。

图片 23

对所收集的重要漏洞的攻击方法进行统计,可以看到,信息泄露类型的漏洞所占比例最大,其次代码执行,跨站点脚本攻击,验证绕过,缓冲区溢出和权限升级等类型的漏洞也占比排名考靠前。

图片 24

部署加固软件,关闭非必要端口

此外,近期呈现一种重要的网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站,大量政府机关含有旧域名链接的网页就成了非法站点的天然外链,被利用提升其PR值。

服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。

图片 25

通过对云脑日志数据分析可以看到,2月捕获攻击以系统漏洞利用攻击、Web扫描、WebServer漏洞利用、信息泄露攻击、Webshell上传、Dns服务器漏洞攻击和暴力破解等分类为主。其中系统漏洞利用类型的占比更是高达36.70%,有近亿的命中日志;Web扫描类型的漏洞占比29.10%;WebServer漏洞利用类型均占比13.30%。此外,信息泄露攻击、Webshell上传等攻击类型在2月的攻击数量有所增长。

在感染性病毒危害地域分布上,广东省位列全国第一,占TOP10总量的28%,其次为浙江省和湖南省。

3木马远控病毒活跃状况

Weblogic系列漏洞攻击趋势跟踪情况

从感染行业上看,企业、政府等行业受蠕虫感染程度较为严重。

加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。

图片 26

1 本月安全攻击趋势

图片 27

图片 28

1 挖矿病毒活跃情况

系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。

2019年2月,Windows SMB日志量达千万级,近几月攻击态势持缓步上升趋势;Weblogic系列漏洞的攻击趋势近几月持续降低,Weblogic系列漏洞利用热度降低;Struts2系列漏洞,PHPCMS系列漏洞本月攻击次数大幅上升,近期应重点关注。Windows SMB 系列漏洞攻击趋势跟踪情况

图片 29

PHPCMS系列漏洞攻击趋势跟踪情况

深信服全网安全态势感知平台监测到全国34808个IP在2月所受网络攻击总量约为6亿次。本月攻击态势与前三个月相比明显下降。下图为近半年深信服网络安全攻击趋势监测情况:

高危站点2463个,高危漏洞5888个,主要漏洞类别是点击劫持、CSRF跨站请求伪造和信息泄露。

重要漏洞攻击分析

从感染性病毒攻击的行业分布来看,黑客更倾向于使用感染性病毒攻击企业、教育、政府等行业。企业、教育、政府的拦截数量占拦截总量的75%,具体感染行业分布如下图所示:

图片 30

图片 31

主要攻击种类和比例如下:

被挖矿病毒感染的行业分布中,政府受挖矿病毒感染情况最为严重,感染比例和1月基本持平,其次是企业和教育行业。

评论
载入中...