ADB(Android Debug Bridge)を悪用した5555/TCPポートの通信を観測 脆弱性Lab

2019年1月25日

1. はじめに

本コラムについては、CSIRT担当様や開発担当様向けの情報提供として掲載しております。

NICTより2018年に入ってから、5555/TCPポートへの通信増加を観測しているとの情報が公開されています。該当ポートを狙った攻撃として、ADB(Android Debug Bridge)を悪用された攻撃通信であることが確認されています。

ADBとは、Androidアプリケーションのインストール、デバッグなどで利用され、主に開発者が利用するツールです。ADBを利用することで、データ転送やコマンド実行、アプリケーションのインストールなどが実施できます。

今回のコラムでは、ADBを利用した5555/TCPポートへの不審な通信について、ハニーポットで観測した内容を掲載します。

2. 観測概要

ハニーポットを利用して観測を行ったところ、ADBを利用した不審な通信が確認できました。こちらの通信については、コインマイニングプログラムの配置を行い、該当プログラムを実行させたり、インストールさせたりする挙動を観測しています。また、他端末に対してもADB接続を実行し、不審なプログラムの感染を拡大させる可能性があります。

◆観測期間:2018/12/9 ~ 2018/12/16

なお、NICT(情報通信研究機構)の調査によると、5555/TCPポートを解放しているホストは、全世界で約123万も存在します。このため、影響を受ける可能性のある端末が多数存在すると考えられます。

3. 観測内容

(1)アクセス件数

ハニーポットでの観測情報として、5555/TCPへの不審な通信の件数を以下に示します。
こちらは、コネクション確立を試みてきた送信元IPアドレスを元にして、国別に表示しています。

送信元の国別による5555/TCPへのアクセス件数

(2)観測された通信内容

ハニーポットにて観測したADB通信による端末の操作内容を以下に示します。

観測されたハニーポットのログ1(実行型)

観測されたハニーポットのログ2 (インストール型)

ADBコネクションを確立した後に、以下の操作を実行していると分析します。送信元によって、操作の順番は違うことがありますが、概ね同一の操作を実施しており、不審なプログラムを実行させることが目的と考えられます。

  • 既存に設置されている不審プログラムの削除
  • 新たな不審プログラムの設置
  • 不審プログラムの実行(インストール)
(3)設置された不審なプログラム情報

今回の観測において、設置された不審なプログラムの一覧を以下に示します。

設置プログラムのハッシュ値(SHA256)設置
回数
VirusTotal
検知数
プログラム概要ファイル形式
71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af52218 / 59 Android Coin MinerELF 32-bit LSB executable
d7188b8c575367e10ea8b36ec7cca067ef6ce6d26ffa8c74b3faa0b14ebb8ff02221 / 58 Android Coin MinerELF 32-bit LSB executable
0d3c687ffc30e185b836b99bd07fa2b0d460a090626f6bbbd40a95b98ea702571637 / 61 Android Coin MinerJava archive data (JAR)
26e72314a3c85dcd726ce1119d35279cb252d296cbe95504addd948ad32da9cc130 / 57 data
a1b6223a3ecb37b9f7e4a52909a08d9fd8f8f80aee46466127ea0f078c7f543780 / 56 data
76ae6d577ba96b1c3a1de8b21c32a9faf6040f7e78d98269e0469d896c29dc6445 / 59 MiraiELF 32-bit LSB executable
63946c28efa919809c03be75a3937c4be80589a9df79cd1be72037d493b7085726 / 58 Android Coin MinerELF 32-bit LSB executable
7a48c93c5cb63a09505a009260d1cca8203285e0c1c6ff5b0df9cbb470820865232 / 61 Android Coin MinerJava archive data (JAR)
7a656791b445fff02ac6e9dd1081cc265db935476a9ee71139cb6aef52102e2b211 / 58 Android Coin MinerELF 32-bit LSB executable
8f89e2fec0414dfec971f82d3ecc4b801646803257c385dda31398c50717785b20 / 56 data
be7cd068c5581ac7223ead45e9c52c998d7a25faf2b6047e27afde34b6ecdc21237 / 61 Android Coin MinerJava archive data (JAR)
cc73dbe0d5cc43482ac81bcbe28f293c6bba65535c60179b45d9d69c7c93569925 / 57 Android Coin MinerELF 32-bit LSB executable
d4e8c642ac8485d2ac316f16b5ed2285c93734c62a3e1bc2852a49f3737053c520 / 56 data
a4044b5ab155251a77edaab65750953b9587073d0351478d71e8da1591472e8014 / 57 Android Coin MinerELF 32-bit LSB executable

VirusTotalにて検知しないプログラムも存在していますが、多数のコインマイニングを実行するプログラムが設置されています。これにより、不正に端末のリソースを利用される被害が発生する可能性があります。

(4)設置されたプログラムの動作

設置された特定プログラムを調査したところ、ADBコマンドを実行し、シェルコマンドを実行する内容が確認できました。

コインマイニング被害だけでなく、他機器に対してADBコマンドを悪用し、感染活動を実施する機能も実装されている不審なプログラムも存在すると考えられます。

設置された不審なプログラム(抜粋)

4. まとめ

管理者が意図しないところで、端末リソースを利用され、コインマイニングを実行される可能性があります。また、第三者への被害拡大も想定されます。ADBは開発環境で利用されている場合が想定され、クラウドサービスでAndroidアプリケーションなどの開発を実施している場合は、以下の確認を推奨します。

  • 信頼できる送信元からのみ、アクセス制御を実施していること
  • 管理機器から5555/TCPなど不審な通信が発生していないこと

5.参考情報

著者プロフィール
西井 晃

2012年、KCCS入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。KCCS-CSIRTの活動に参加し、世界平和を目指す。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ