攻击物联网设备？黑客钟爱5555端口

5555端口是安卓adb服务默认监听的端口，由于早期版本缺乏认证过程，导致其成为了僵尸网络热衷利用的目标，目前安全团队对5555端口上相关攻击的研究通常集中在adb服务。近期我们对5555端口上的恶意流量进行了深入分析，发现除针对adb服务的探测和攻击活动依然活跃外，还存在多种针对其他漏洞和服务的攻击：

1）针对adb服务的探测和攻击

我们发现5555端口上针对adb服务的探测和攻击非常稳定，没有明显的上升下降趋势，说明攻击者已经将adb服务纳入常规的攻击目标。

2）针对AVTECHCamera/NVR/DVR的攻击

该漏洞针对AVTECH摄像头的Web服务，我们发现攻击者使用了固定的主机进行攻击、短时间内快速提升或降低攻击频率能力强，且该攻击并非仅针对5555端口，80、631、52869等端口上也存在该攻击。

3）针对MVPower DVR的攻击

该攻击针对MVPowerDVRTV-7104HE的Web服务，我们发现该攻击同样并非仅针对5555端口，8081、80、8181等端口也存在大量该攻击，且近期攻击频率有上升的趋势。另外我们发现该攻击的攻击源在不同端口上表现不同，5555、8081等端口上，攻击者利用固定的主机进行攻击。60001等端口上，攻击源分散，我们推测攻击者发动了僵尸主机参与攻击。

4）针对RDP服务的扫描

BlueKeep（CVE-2019-0708）[6]是Microsoft的远程桌面协议（RDP）实现中发现的一个安全漏洞，它允许远程执行代码。RDP默认3389端口，但我们在5555端口上捕获到了针对RDP服务的扫描行为，发现攻击次数和攻击源数量均呈上升趋势。

最后，我们还在5555端口上捕获到了针对cve-2015-2051、cve-2016-10372、LinksysE-series - Remote CodeExecution[8]、cve-2017-8225等多种漏洞的利用行为以及针对索尼摄像头、九安摄像头等多种设备的扫描行为，由于篇幅所限，不在本文中赘述。同一个端口上出现多种攻击已经逐渐成为一种趋势，安全团队应及时转变思路，及时应对全新的挑战。

一、针对adb服务的探测和攻击

adb全称为Android Debug Bridge ，是一个通用的命令行工具，它允许我们在主机（通常为PC机）上与模拟器或者真实的Android设备进行连接、通信以及执行命令。它为各种安卓设备的操作提供便利（如安装和调试应用程序），并提供对Unix shell（可用来在设备上运行各种命令）的访问权限。adb支持USB和TCP两种连接模式，adb的守护进程运行后将默认监听5555端口。

Google对adb服务的通信协议没有公开的说明文档，因此无法直接证明本节所述的利用针对adb服务，但是我们对adb服务的通信过程进行了抓包分析，通过对比正常adb服务和恶意流量在通信流程上的异同以确定攻击是否针对adb服务。在Andorid8.0.0上使用adb执行id命令的通信流程如图 1所示。adb工具与手机的通信过程总体可以分为两个部分，握手和执行shell命令。握手阶段，adb服务端向目标设备发送CONNECT消息，之后目标设备回应需要认证，双方完成认证即完成了建立连接的过程。执行shell命令的阶段，adb服务端需要先发送OPEN消息通知目标设备有一条shell命令的消息流，等待目标设备确认后，再发送WRTE消息，目标设备将返回执行结果。

图1 Android8.0.0使用adb执行id命令的通信流程

我们捕获到的恶意流量如图 2所示。通过对恶意流量进行分析，我们发现该攻击仅需连续发送两个数据包即可完成恶意样本的投递，

图2 针对adb服务攻击的恶意流量

使用ascii的方式解码图 2的数据包可以看出，第一个数据包实际为adb服务握手所需，无需关注；第二个数据包中攻击者执行了shell命令，如图 3所示。

图3 针对adb服务攻击执行的命令

我们还原了恶意流量的通信流程，如图 4所示。与Andorid8.0.0上使用adb执行命令相比，恶意流量执行命令的流程与其大体相同：均为先发送CONNECT消息完成握手，之后发送OPEN消息执行shell命令，但二者明显的区别是握手阶段恶意流量中缺少了认证过程。根据谷歌的描述[1]，Android4.2及以上的版本，当adb服务端尝试连接Android设备时，Android系统会询问是否接受允许通过此计算机进行调试的RSA密钥，这种安全机制可以保护用户的设备。因此，可以确认本节所述攻击的目标设备为版本低于Android4.2的真实设备及模拟器，目标服务为adb服务。

图4 针对adb服务攻击的攻击流程

通过统计针对adb服务的攻击次数我们发现，探测和攻击活动的次数稳定且没有下降的趋势，说明攻击者已经将针对adb服务的攻击纳入了常规的攻击活动，以达到投递样本、俘获僵尸主机的目的。2020年3月针对adb服务攻击次数的变化趋势如图 5所示。

图5 2020年3月针对adb服务攻击次数的变化趋势

我们统计了3月期间不同攻击源对相同目标的攻击次数，如图 6所示。发现90%以上的攻击源对相同目标的攻击次数在100次以内，但存在部分攻击源对相同目标的攻击次数达到了1000次以上。我们推测攻击者除了利用集中的主机进行攻击外，也发动了僵尸主机对网络中的adb服务进行攻击，以投递样本，扩大其规模。

图6 2020年3月不同攻击源的攻击次数占比

通过统计3月期间攻击源IP的数量变化我们发现，攻击源数量与攻击次数一样相对稳定。值得注意的是，攻击源数量呈微弱的上升趋势。我们推测攻击者针对adb服务进行攻击有一定的效果，越来越多运行adb服务的设备被攻陷成为僵尸主机，并且参与到攻击其他adb服务的活动中。攻击源数量的变化趋势如图 7所示。

图7 2020年3月针对adb服务攻击源数量变化趋势

最后，由于大部分攻击源极有可能是僵尸网络攻陷的僵尸主机，我们对攻击源的地区进行了统计。我们发现，攻击源分布在100余个国家和地区中，影响范围较大，影响最严重的前五个国家和地区是中国、摩尔多瓦、韩国、美国和瑞典，且中国和摩尔多瓦占比尤其巨大，二者之和百分比达到了61%。数量排行前十的攻击源地域分布占比情况如图 8所示。

图8 2020年3月针对adb服务攻击前十的攻击源地域分布

对此，我们提出以下建议：虽然根据谷歌官方的统计[3]，截止2019年5月7日，95%以上的安卓设备Android版本大于4.2，但消费者应注意，部分机顶盒、车载导航、智能家居等设备出厂时基于Android4.2以下的版本制造，应更新固件，若厂商没有提供有效的更新，应采取NAT等方式以避免将设备直接暴露在互联网上。另外Android的开发者也应注意，使用模拟器进行开发调试的过程中，避免模拟器暴露于互联网上。

二、针对AVTECHCamera/NVR/DVR的攻击

我们最早在2019年9月就捕获到了Demon僵尸网络针对AVTECH摄像头的攻击[3]，该漏洞针对AVTECH摄像头的Web服务，触发RCE的PATH-INFO为/cgi-bin/nobody/Search.cgi和/cgi-bin/supervisor/CloudSetup.cgi，漏洞利用详情参见公开PoC[5]。

经过数月的演变，该攻击在目的端口上有了比较明显的变化。该攻击刚出现时，8888端口上的攻击非常集中，其余端口分布相对平均，且5555端口并没有出现该攻击，如图 9所示。

图9 2019年9月-10月针对AVTECH摄像头攻击的目的端口分布

截止成稿，我们发现该攻击针对的目的端口在各端口上已经趋于平均，值得注意的是，该攻击刚出现时没有针对的5555端口位于该攻击的目的端口前列，排在第五位。该攻击从出现至截稿时的目的端口分布情况，如图 10所示。

图10 2019年9月-2020年3月针对AVTECH摄像头攻击目的端口的分布

为分析攻击次数的变化趋势，我们统计了2019年12月至2020年3月该攻击在5555端口上的攻击次数，如图 11所示。发现该攻击的攻击次数波动比较明显，最近的一次攻击高峰出现在2020年2月26日，目前已趋于平缓。说明攻击者控制攻击启停的能力强，并能在短时间内显著提升或降低攻击频率。

图11 2019年12月至2020年3月5555端口上针对AVTECH摄像头攻击的趋势

最后我们统计了2019年12月至2020年3月针对AVTECH摄像头攻击的源IP数量，如图 12所示。发现相同时间段，攻击源IP数量始终在1-2之间。说明该攻击的特点，是使用固定的主机进行攻击而不是发动数量庞大的僵尸主机进行攻击。这从侧面解释了图 11攻击趋势波动明显的原因：相比于使用僵尸主机发动攻击，使用集中的主机进行攻击在实时性上，更容易被掌控。

图12 2019年12月至2020年3月针对AVTECH摄像头攻击源IP数量变化趋势

三、针对MVPowerDVR的攻击

该攻击针对MVPowerDVR TV-7104HE的Web服务，触发RCE的PATH-INFO为/shell，漏洞利用详情参见公开PoC[6]。

为分析该攻击是否只针对5555端口，我们统计了该攻击目的端口的分布，如图 13所示。可以看出除8081相对突出外，其余端口差距不大，5555端口在第16位，说明该攻击不是单独针对5555端口。推测攻击者认为TV-7104HE在8081暴露较多，对8081端口的投入较大，但其他端口也投入了一定的攻击。

图13 在2020年1月至3月针对MVPowerDVR攻击的目的端口分布

由于本文关注的重点是5555端口，且所有端口的总体趋势与5555端口一致，均从2020年1月末开始增多，我们就统计了2020年1月25日至截稿时的攻击次数，如图 14所示。我们发现5555端口上，该攻击相对稳定，但总体呈一定的上升趋势，最近的一次攻击高峰在2020年3月15日。

图14 2020年1月末至3月5555端口上针对MVPowerDVR攻击次数的趋势

在分析攻击源的过程中我们发现，攻击源数量的变化趋势在所有端口和5555端口上出现了不一致的现象。攻击源在所有端口上的变化趋势如图 15所示。可以看出，攻击源的变化波动较大，且没有明显的上升下降趋势。

图15 所有端口2019年12月至3月针对MVPowerDVR的攻击源IP的变化趋势

而在统计5555端口的攻击源变化时，我们意外发现攻击源的变化趋势在不同端口之间也不尽相同。5555、8081、60001端口上攻击源变化趋势如图 16所示。8081端口和5555端口在攻击源数量变化上表现一致，相同时间段攻击源ip数量始终在1-3之间，但在60001端口上攻击源IP数量波动较大。我们推测部分端口上攻击者使用了固定的主机进行攻击，没有发动僵尸主机参与攻击。而在某些端口上（如5555、8081等），发起攻击的主机并不固定，可能有僵尸主机参与攻击。同时不排除有多个僵尸网络同时针对MVPowerDVR进行攻击的可能。这解释了攻击源在所有端口和5555端口上的趋势不相同的原因：部分端口攻击源数量剧烈的波动，导致5555端口稳定的攻击源变化趋势并不能体现在总体趋势上。

图16 5555、80818、60001端口上2020年1月末至3月针对MVPowerDVR攻击源IP的变化趋势

四、针对RDP服务的扫描

BlueKeep（CVE-2019-0708）[7]是Microsoft的远程桌面协议（RDP）实现中发现的一个安全漏洞，它允许远程执行代码。2019年9月6日，一个可感染BlueKeep的安全漏洞利用程序宣布发布到公共领域后[8]，我们在非常多的端口上捕获到了针对RDP服务的扫描，其中包含5555端口。

去除RDP服务默认的3389端口后（数量过于庞大），我们统计了针对RDP服务扫描的目的端口排行，如图 17所示。我们发现除3390端口外，其他各端口捕获到的攻击次数相对平均，但5555端口排在第四位。说明攻击者有明确的目标端口（3389、3390），但在其他端口也有一定的攻击投入。

图17 2019年12月至2020年3月不同端口捕获针对RDP服务扫描的次数分布

为研究攻击者对于RDP服务扫描次数的规律，我们统计了2019年12月至2020年3月5555端口上针对RDP服务的扫描次数，如图 18所示。发现攻击波动剧烈，总体呈上升趋势。说明针对RDP服务的扫描正在加剧，应引起重视。

图18 2019年12月至2020年3月5555端口针对RDP服务的扫描趋势

我们也分析了攻击源的变化情况，通过统计2019年12月至2020年3月5555端口上扫描RDP服务的源IP数量，我们发现，攻击源数量与攻击次数一样有一定的波动，同时总体也呈上升趋势。我们推测攻击者针对RDP服务的扫描为僵尸主机所为，且针对BlueKeep的攻击有一定效果，越来越多的主机被攻陷，成为僵尸主机并参与到对RDP服务的扫描活动中，加速恶意程序的传播。2019年12月至2020年3月5555端口上扫描RDP服务的源IP数量趋势如图 19所示。

图19 2019年12月至2020年3月5555端口针对RDP服务进行扫描的扫描源数量变化趋势

最后通过统计扫描源IP的地域分布我们发现，扫描源来自二十余个国家和地区，相较其他地区，法国和荷兰的扫描源非常多，二者之和占比达到了50%。我们推测，欧洲地区（尤其法国和荷兰）受BlueKeep影响严重。扫描源IP地域（前十）占比情况如图 20所示。

图20 针对RDP服务扫描的扫描源IP地域占比情况

五、总结

同一个端口上出现多种攻击已经成为一种趋势，这对防守方是一种新的挑战，要求防守方改变传统的捕获和分析思路，一方面需要具备在相同端口上同时模拟多种协议和漏洞的能力，另一方面也需要具备从海量的日志中分析出潜在的攻击行为的能力。由于adb服务默认监听了5555端口，安全团队通常默认将adb服务受到的攻击与5555端口画上了等号，这将遗漏大量该端口上的攻击。安全团队应及时转变思路，及时应对全新的挑战。

参考文献：

[1].Exploit DB. Linksys E-series - Remote Code Execution. https://www.exploit-db.com/exploits/31683

[2].Google. Android调试桥（adb）用户指南. https://developer.android.com/studio/command-line/adb#wireless

[3].Google. Distribution dashboard. https://developer.android.com/about/dashboards

[4].魏佩儒. 一个月内首现三类漏洞探测活动，僵尸网络又在酝酿攻击？ https://cloud.tencent.com/developer/article/1552398

[5].Exploit DB. AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities. https://www.exploit-db.com/exploits/40500

[6].Exploit DB. MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution (Metasploit). https://www.exploit-db.com/exploits/41471

[7].WIKIPEDIA. BlueKeep. https://en.wikipedia.org/wiki/BlueKeep.

[8].Goodin, Dan (2019-09-06). "Exploit for wormable BlueKeep Windows bug released into the wild - The Metasploit module isn't as polished as the EternalBlue exploit. Still, it's powerful". Ars Technica. Retrieved 2019-09-06. https://arstechnica.com/information-technology/2019/09/exploit-for-wormable-BlueKeep-windows-bug-released-into-the-wild/.