adbminer - 360 Netlab Blog - Network Security Research Lab at 360

adbminer

A collection of 8 posts

Rinfo Is Making A Comeback and Is Scanning and Mining in Full Speed

Overview In 2018 we blogged about a scanning&mining botnet family that uses ngrok.io to propagate samples: "A New Mining Botnet Blends Its C2s into ngrok Service ", and since mid-October 2020, our BotMon system started to see a new variant of this family that is active

rinfo卷土重来，正在疯狂扫描和挖矿

版权版权声明：本文为Netlab原创，依据CC BY-SA 4.0 许可证进行授权，转载请附上出处链接及本声明。概述 2018年我们公开过一个利用ngrok.io传播样本的扫描&挖矿型botnet家族: "利用ngrok传播样本挖矿"，从2020年10月中旬开始，我们的BotMon系统检测到这个家族的新变种再次活跃起来，并且持续至今。相比上一次，这次来势更加凶猛，截至2021年2月6号，我们的Anglerfish蜜罐共捕获到11864个scanner样本，1754个miner样本，3232个ngrok.io临时域名。样本捕获情况可以参考下面的捕获记录。目前该家族仍在传播之中，本文将结合老版本对新变种做一对比分析，要点如下： 1. 该家族整体结构未变，仍由扫描和挖矿2大模块组成，扫描的目的仍然是为了组建挖矿型botnet。 2. 样本跟2018年分析的那批同源，只是功能稍有变化，为最新变种。 3. 新版本仍然依赖ngrok.io来分发样本和上报结果。 4. 扫描的端口和服务有所变化，不再扫描Apache CouchDB和MODX服务，同时增加了3个新的

Fbot, A Satori Related Botnet Using Block-chain DNS System

Since 2018-09-13 11:30 UTC, a new botnet (we call it Fbot) popped up in our radar which really caught our attention. There are 3 interesting aspects about this new botnet: * First, so far the only purpose of this botnet looks to be just going after and removing another botnet

Fbot，一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始，我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后，该蠕虫会等待来自C2（musl.lib，66.42.57.45:7000， Singapore/SG）的下一步指令。我们将该蠕虫命名为fbot，主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析，需要通过EmerDNS，一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次报告的 ADB.Miner 类似，利用adb安卓调试接口传播，并挖矿。ADB.Miner 是我们今年二月首次报告的，自那以后，类似的其他僵尸网络已经长期传播，感染了包括 Amazon FireTV 在内的多种设备。最后，新的蠕虫Fbot与臭名昭著的

ADB.Miner: More Information

This blog is a joint effort of 360 Beaconlab, 360 CERT, 360 MobileSafe, 360Netlab and 360 Threat Intelligence Center. Overview About 48 hours ago, we reported an Android worm ADB.miner in our previous blog. This malware can replicate itself over Android devices by utilizing the opened ADB debugging interface.

ADB.Miner 安卓蠕虫的更多信息

本篇技术分析，由360手机卫士，360威胁情报中心，360烽火实验室，360-CERT，360网络安全研究院联合发布。综述大约48小时之前，我们发布文章报告了ADB.Miner，一种新型的安卓蠕虫。该蠕虫可以借助安卓设备上已经打开的 adb 调试接口传播，且初期传播的增速很快，约每12小时翻一番。在过去的48小时内，我们对 ADB.Miner 做更进一步的分析，目前的结论如下，供安全社区参考： 1. 当前感染量已经稳定：日活感染量在增长到7千(2018-02-05 15:00 GMT+8)后不再快速增长。这个数字已经保持稳定了超过 20 小时，可以认为蠕虫已经经过了爆发期，进入稳定期。 2. 确认电视盒子被感染：确认被感染的都是安卓设备。进一步分析能够确认部分设备是电视盒子，其他设备不能认定是何种设备，也不能确认是安卓手机 3. 对样本的分析，排除了样本从远程开启 adb 调试接口的可能。

ADB.Miner：恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者：Hui Wang, RootKiter, twitter/360Netlab 大约24小时前，从 2018-02-03 15:00 开始，一组恶意代码开始蠕虫式快速传播，我们分析了这个安全威胁，一些快速的结果如下： * 传播时间：最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15：00 附近开始被我们的系统检测到，目前仍在持续增长。 * 感染端口：5555，是安卓设备上 adb 调试接口的工作端口，这个端口正常应该被关闭，但未知原因导致部分设备错误的打开了该端口 * 蠕虫式感染：恶意代码在完成植入后，会继续扫描 5555 adb 端口，完成自身的传播 * 感染设备型号：目前能够确认的设备型号见后，大部分是智能手机，以及智能电视机顶盒 * 感染设备数量：2.75 ~ 5k，主要分布在中国（~40%）和韩国（

Botnet Featured

Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading

Author：Hui Wang, RootKiter, twitter/360Netlab About 24 hours ago, around 2018-02-03 15:00(GMT +8), a set of malicious code began to spread rapidly, here are some quick facts: * Timeline : the earliest time of the infection can be traced back to January 31. And the current worm-like infection was