检测到一个新的加密货币挖掘僵尸网络正在利用安卓调试网桥端口,这是一个旨在解决大多数安卓手机和平板电脑上安装的应用程序缺陷的系统。
据Trend Micro报道,僵尸网络恶意软件已在21个国家被检测到,在韩国最为普遍。
攻击利用了默认情况下打开ADB端口不需要身份验证的方式,一旦安装,它就可以传播到以前共享ssh连接的任何系统。ssh连接连接各种各样的设备——从移动设备到物联网(iot)小工具——这意味着许多产品都容易受到影响。
研究人员说:“作为一个已知的设备,这意味着在初始密钥交换后,两个系统可以相互通信,而无需进一步验证,每个系统都认为对方是安全的。”“存在传播机制可能意味着此恶意软件会滥用广泛使用的ssh连接过程。”
它以一个IP地址开始。
45[..]67[..]14[..]179通过ADB到达,并使用命令shell将工作目录更新为“/data/local/tmp”,因为.tmp文件通常具有执行命令的默认权限。
一旦bot决定进入一个蜜罐,它就使用wget命令下载三个不同矿工的有效载荷,如果wget不在受感染的系统中,则使用curl。
恶意软件根据系统的制造商、体系结构、处理器类型和硬件来确定哪个矿工最适合利用受害者。
然后执行另一个命令chmod 777 a.sh以更改恶意删除的权限设置。最后,bot使用另一个命令rm-rf a.sh*来删除下载的文件,从而将自己隐藏在主机之外。这也隐藏了臭虫传播到其他受害者身上的来源。
研究人员检查了入侵脚本,并确定了三个可用于攻击的潜在矿工——全部由同一个URL提供——是:
http://198[..]98[..]51[..]104:282/x86/bash
网址:http://198[..]98[..]51[..]104:282/arm/bash
http://198[..]98[..]51[..]104:282/aarch64/bash
他们还发现,该脚本通过启用Hugepages来优化挖掘输出,从而增强主机的内存,Hugepages使内存页的大小大于默认值。
如果已经使用该系统找到矿工,僵尸网络会试图使他们的URL无效,并通过更改主机代码来杀死他们。
有害和恶意的加密采矿液正在不断发展利用受害者的新方法。去年夏天,Trend Micro观察到另一个亚洲开发银行利用他们称之为Satoshi变体的技术。
在过去的几周里,通过对服务器的暴力攻击,在中国各地传播了另一种Monero采矿变体。当时,研究人员还没有确定僵尸网络是否已经开始挖掘操作,但在脚本中发现了一个Android APK,这表明Android设备可能是目标。(本文素材来源于网络,如有侵权,请联系作者删除!)
领取专属 10元无门槛券
私享最新 技术干货