一种新型的恶意加密货币挖矿殭尸网络被侦测到通过安卓调试桥(Android Debug Bridge, ADB)的端口运作, ADB 是用来解决多数安卓手机或平板上安装的应用程序缺陷的系统。
根据趋势科技(Trend Micro)报告,这一殭尸网络恶意软件已在 21 个国家被侦测到,并在韩国最为泛滥。
(来源:Pixabay)
该攻击利用了在默认的情况下可无须认证打开 ADB 端口的方式,一旦安装该恶意软件,就会散布到先前曾与该设备共享安全外壳协议(Secure Shell, SSH)连接的任何系统。 SSH 连接会与各种设备连接——从移动电话到物联网(Internet of Things, IoT)小工具——这意味着许多产品都可能受影响。
许多研究员表示,“对设备来说, “已知”意味着两系统能在交换初始密钥后,不用额外的认证就能相互连接,系统间会默认彼此是安全的”,“这存在扩散机制,表示恶意软件能通过 SSH 连接进行广泛的滥用。”
该恶意软件以 IP 地址开始。
45[.]67[.]14[.]179 通过 ADB 端口植入,并使用 shell 指令将工作目录更新为 “/data/local/tmp”,因为 .tmp 文件通常具有执行指令的默认权限。
一旦确认成功的植入,该恶意软件就会运用 wget 指令下载三个不同矿工的有效载荷(payload),假如受感染的系统中没有 wget ,就会受影响。
恶意软件依据系统制造商、架构、程序类型和硬件来决定哪个矿工是最适合成为受害者。
然后一个附加指令 chmod 777 a.sh 会执行,更改恶意丢弃权限设置。最终,该软件运用另一个指令 rm -rf a.sh* 来隐藏自己,删除下载的文件。这也掩盖了 bug 传播到其他受害者的痕迹。
研究员检查了入侵文本并确认了在攻击中被利用的三位潜在矿工——都是通过相同的 URL 递送的,它们是:
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
研究员还发现文本通过启用 HugePages 增强主机的内存,允许大于其默认大小的内存页面来优化挖矿的输出量。
假如使用该系统的矿工被发现,殭尸网络会尝试使其 URL 废止,并通过更改主机代码来中止。
有害和恶意的加密挖矿正持续的演变出新的方式来剥削受害者。去年夏天,趋势科技观察到另一个 ADB 的利用,称之为 Satoshi Variant 。
过去几周内,黑客组织 Outlaw 被发现通过对服务器的暴力攻击,在中国散播另一个 Monero 的挖矿病毒。当时,研究员虽无法确定殭尸网络是否已开始挖矿作业,但却在文本中发现了 Android APK,表明可能是专门针对安卓的设备的。
翻译:吴姿莹
声明:本文来自CoinDesk中文,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。