ADB(Android Debug Bridge)を悪用した5555/TCPポートの通信を観測 脆弱性Lab
2019年1月25日
1. はじめに
本コラムについては、CSIRT担当様や開発担当様向けの情報提供として掲載しております。
NICTより2018年に入ってから、5555/TCPポートへの通信増加を観測しているとの情報が公開されています。該当ポートを狙った攻撃として、ADB(Android Debug Bridge)を悪用された攻撃通信であることが確認されています。
ADBとは、Androidアプリケーションのインストール、デバッグなどで利用され、主に開発者が利用するツールです。ADBを利用することで、データ転送やコマンド実行、アプリケーションのインストールなどが実施できます。
今回のコラムでは、ADBを利用した5555/TCPポートへの不審な通信について、ハニーポットで観測した内容を掲載します。
2. 観測概要
ハニーポットを利用して観測を行ったところ、ADBを利用した不審な通信が確認できました。こちらの通信については、コインマイニングプログラムの配置を行い、該当プログラムを実行させたり、インストールさせたりする挙動を観測しています。また、他端末に対してもADB接続を実行し、不審なプログラムの感染を拡大させる可能性があります。
◆観測期間:2018/12/9 ~ 2018/12/16
なお、NICT(情報通信研究機構)の調査によると、5555/TCPポートを解放しているホストは、全世界で約123万も存在します。このため、影響を受ける可能性のある端末が多数存在すると考えられます。
3. 観測内容
(1)アクセス件数
ハニーポットでの観測情報として、5555/TCPへの不審な通信の件数を以下に示します。
こちらは、コネクション確立を試みてきた送信元IPアドレスを元にして、国別に表示しています。
送信元の国別による5555/TCPへのアクセス件数
(2)観測された通信内容
ハニーポットにて観測したADB通信による端末の操作内容を以下に示します。
観測されたハニーポットのログ1(実行型)
観測されたハニーポットのログ2 (インストール型)
ADBコネクションを確立した後に、以下の操作を実行していると分析します。送信元によって、操作の順番は違うことがありますが、概ね同一の操作を実施しており、不審なプログラムを実行させることが目的と考えられます。
- 既存に設置されている不審プログラムの削除
- 新たな不審プログラムの設置
- 不審プログラムの実行(インストール)
(3)設置された不審なプログラム情報
今回の観測において、設置された不審なプログラムの一覧を以下に示します。
| 設置プログラムのハッシュ値(SHA256) | 設置 回数 | VirusTotal 検知数 | プログラム概要 | ファイル形式 |
|---|---|---|---|---|
| 71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af5 | 22 | 18 / 59 | Android Coin Miner | ELF 32-bit LSB executable |
| d7188b8c575367e10ea8b36ec7cca067ef6ce6d26ffa8c74b3faa0b14ebb8ff0 | 22 | 21 / 58 | Android Coin Miner | ELF 32-bit LSB executable |
| 0d3c687ffc30e185b836b99bd07fa2b0d460a090626f6bbbd40a95b98ea70257 | 16 | 37 / 61 | Android Coin Miner | Java archive data (JAR) |
| 26e72314a3c85dcd726ce1119d35279cb252d296cbe95504addd948ad32da9cc | 13 | 0 / 57 | ー | data |
| a1b6223a3ecb37b9f7e4a52909a08d9fd8f8f80aee46466127ea0f078c7f5437 | 8 | 0 / 56 | ー | data |
| 76ae6d577ba96b1c3a1de8b21c32a9faf6040f7e78d98269e0469d896c29dc64 | 4 | 5 / 59 | Mirai | ELF 32-bit LSB executable |
| 63946c28efa919809c03be75a3937c4be80589a9df79cd1be72037d493b70857 | 2 | 6 / 58 | Android Coin Miner | ELF 32-bit LSB executable |
| 7a48c93c5cb63a09505a009260d1cca8203285e0c1c6ff5b0df9cbb470820865 | 2 | 32 / 61 | Android Coin Miner | Java archive data (JAR) |
| 7a656791b445fff02ac6e9dd1081cc265db935476a9ee71139cb6aef52102e2b | 2 | 11 / 58 | Android Coin Miner | ELF 32-bit LSB executable |
| 8f89e2fec0414dfec971f82d3ecc4b801646803257c385dda31398c50717785b | 2 | 0 / 56 | ー | data |
| be7cd068c5581ac7223ead45e9c52c998d7a25faf2b6047e27afde34b6ecdc21 | 2 | 37 / 61 | Android Coin Miner | Java archive data (JAR) |
| cc73dbe0d5cc43482ac81bcbe28f293c6bba65535c60179b45d9d69c7c935699 | 2 | 5 / 57 | Android Coin Miner | ELF 32-bit LSB executable |
| d4e8c642ac8485d2ac316f16b5ed2285c93734c62a3e1bc2852a49f3737053c5 | 2 | 0 / 56 | ー | data |
| a4044b5ab155251a77edaab65750953b9587073d0351478d71e8da1591472e80 | 1 | 4 / 57 | Android Coin Miner | ELF 32-bit LSB executable |
VirusTotalにて検知しないプログラムも存在していますが、多数のコインマイニングを実行するプログラムが設置されています。これにより、不正に端末のリソースを利用される被害が発生する可能性があります。
(4)設置されたプログラムの動作
設置された特定プログラムを調査したところ、ADBコマンドを実行し、シェルコマンドを実行する内容が確認できました。
コインマイニング被害だけでなく、他機器に対してADBコマンドを悪用し、感染活動を実施する機能も実装されている不審なプログラムも存在すると考えられます。
設置された不審なプログラム(抜粋)
4. まとめ
管理者が意図しないところで、端末リソースを利用され、コインマイニングを実行される可能性があります。また、第三者への被害拡大も想定されます。ADBは開発環境で利用されている場合が想定され、クラウドサービスでAndroidアプリケーションなどの開発を実施している場合は、以下の確認を推奨します。
- 信頼できる送信元からのみ、アクセス制御を実施していること
- 管理機器から5555/TCPなど不審な通信が発生していないこと
5.参考情報
-
・仮想通貨採掘ソフトウェア「Claymore(クレイモア)」を標的としたアクセスの増加等について
https://www.npa.go.jp/cyberpolice/important/2018/201803121.html
-
・継続する 5555/TCP ポート宛攻撃通信と ADB が有効化された脆弱な Android エミュレータについて
著者プロフィール
西井 晃
2012年、KCCS入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。KCCS-CSIRTの活動に参加し、世界平和を目指す。
掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。
