年初时由比特梵德发现的物联网僵尸网络NHS感染数万台设备,不过在后续这段时间里该网络感染更多设备。
不过这些被感染的设备大多数都是物联网设备,NHS最初也是通过知名的物联网蠕虫病毒MIRAI进行感染的。
然而最新监测数据显示NHS 开始利用安卓系统的ADB功能进行感染,只要安卓设备开启Wi-Fi即可被探测到。
通过WiFi ADB感染安卓设备:
ADB功能即安卓系统预留给开发者的调试功能,开发者利用该功能可以获得安卓系统最高权限并执行命令行。
正常情况下制造商生产的安卓设备默认情况下是关闭ADB功能的,但总有些制造商粗心没有在出厂进行检查。
NHS僵尸网络正好利用这个弱点开始探测开启 ADB 的安卓设备,探测到即可连接再执行恶意命令进行感染。
安卓的ADB调试在Wi-Fi网络下默认端口为5555,也就是说任何人探测到设备后都可以执行最高权限的命令。
NHS已经具备开机自启动的能力:
绝大多数针对LINUX系统的物联网病毒都不具备开启自启动的权限,因此只要重启系统即可轻易将病毒清除。
在经过将近1年的发展后目前已有部分病毒可以开机自启动,它们将自身复制到/etc/init.d/ 目录实现自启动。
所幸这次针对安卓系统的变种暂时还无法执行开机自启动,不过对于用户来说关闭安卓ADB功能才是更重要。
安卓为什么必须关闭ADB功能:(即WiFi/USB调试模式)
正如前文所提ADB功能是提供给开发者调试使用的,开启ADB功能后任何人连接设备后都可以获得最高权限。
而国内很多助手类的应用程序也需要开启ADB功能才可以使用,开启后这些程序给用户自动安装捆绑应用等。
但是ADB的强大远远不止于此,例如即便没有你的锁屏密码也可以通过ADB连接设备后再清除密码进入系统。
所以对于绝大多数用户来说不开启ADB功能是最好的选择,即便要使用也需要用完后立即关闭防止安全威胁。
