IoT僵尸网络Ares利用开放ADB端口感染安卓机顶盒

新型 IoT 僵尸网络 Ares 正在感染将调试端口暴露在互联网上的安卓设备。

网络安全公司WootCloud 指出，该僵尸网络最常见的受害者是由 HiSilicon、Cubetek 和 QezyMedia 公司制造的安卓机顶盒。

针对ADB

攻击并非利用安卓操作系统中的漏洞，而是正在利用被被启用且在某些机顶盒程序中不受保护的配置服务。ADB (Android Debug Bridge) 是安卓操作系统的标准功能，目的是使制造商和 app 开发人员通过命令行接口访问安卓操作系统。可通过三种方式访问该 ADB 终端：通过网线连接、WiFi 或互联网（通过设备端口5555）。

制造商通常使用 ADB 服务进行配置或在安卓设备上运行测试。在多数生产线上，企业在交付设备前会禁用该服务。然而，最近几年随着安卓设备越来越流行，很多供应商未能或忘记禁用该服务，从而导致设备易受远程攻击。

此前有很多IoT 僵尸网络都在攻击安卓手机和启用 ADB 服务的 IoT 设备。

新型的 Ares 僵尸网络

虽然大量 IoT 僵尸网络都在不断地持续扫描互联网上 ADB 端口开放的安卓设备，不过上个月又有新成员 Ares 加入。

Ares 僵尸网络基于臭名昭著的 Mirai IoT 恶意软件，是上个月最活跃的 IoT 僵尸网络之一。

WootCloud 实验室指出，Ares 随机扫描互联网上 ADB 端口开放的安卓设备，之后操纵人员在遭暴露的设备上下载 Ares 恶意软件的一个版本，而随后该设备成为Ares 操纵人员的另外一个扫描点。遭感染的设备将扫描其它开放 ADB 端口的安卓系统以及运行 Telenet 服务的 Linux 服务器和智能设备。研究人员表示，这些攻击始于7月份，但也不能排除其它安卓系统类型遭感染的可能性。

ADB 服务滥用问题困扰用户多年

虽然 Ares功能基本未知，但它基于老旧的 Mirai 僵尸网络，因此它能够发动 DDoS 攻击和为攻击者带来代理流量。

任何受感染的安卓设备，尤其是安装到企业环境中的设备，均可成为数据泄露的入口点。建议企业部署防火墙或其它安全解决方案或细分本地网络，使得受感染设备无法访问关键系统。

WootCloud 公司创始人兼首席技术官 Srinivas Akella 建议将路由器配置为拦截 TCP 端口5555的入口和出口网络流量。这个建议也同样适用于能够过滤本地路由器入口流量的家庭用户。但不管是企业还是家庭用户，最简单的修复方案是禁用所有本地安卓设备上的 ADB 服务。

遗憾的是，禁用某些机顶盒子上的 ADB 服务并没有听起来这么简单。

Akella 表示，家庭用户能够禁用 ADB 端口取决于设计，即供应商是否在机顶盒子的 GUI 中提供了禁用该服务的选项。如未提供，则需要设置路由器拦截流量或者登录设备通过命令提示符禁用该服务。遗憾的是，多数安卓和机顶盒用户并不具备这种技术水平，也就是说多数设备只要在使用状态就易受攻击。

原文链接

https://www.zdnet.com/article/a-new-iot-botnet-is-infecting-android-based-set-top-boxes/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。