每日最新頭條.有趣資訊

安卓用戶注意了,安全人員又發現新型加密貨幣挖礦僵屍網絡

一種新型的惡意加密貨幣挖礦殭屍網絡被偵測到通過安卓調試橋(Android Debug Bridge, ADB)的端口運作, ADB 是用來解決多數安卓手機或平板上安裝的應用程序缺陷的系統。

根據趨勢科技(Trend Micro)報告,這一殭屍網絡惡意軟體已在 21 個國家被偵測到,並在韓國最為泛濫。

(來源:Pixabay)

該攻擊利用了在默認的情況下可無須認證打開 ADB 端口的方式,一旦安裝該惡意軟體,就會散布到先前曾與該設備共享安全外殼協議(Secure Shell, SSH)連接的任何系統。 SSH 連接會與各種設備連接——從移動電話到物聯網(Internet of Things, IoT)小工具——這意味著許多產品都可能受影響。

許多研究員表示,“對設備來說, “已知”意味著兩系統能在交換初始密鑰後,不用額外的認證就能相互連接,系統間會默認彼此是安全的”,“這存在擴散機制,表示惡意軟體能通過 SSH 連接進行廣泛的濫用。”

該惡意軟體以 IP 地址開始。

45[.]67[.]14[.]179 通過 ADB 端口植入,並使用 shell 指令將工作目錄更新為 “/data/local/tmp”,因為 .tmp 文件通常具有執行指令的默認權限。

一旦確認成功的植入,該惡意軟體就會運用 wget 指令下載三個不同礦工的有效載荷(payload),假如受感染的系統中沒有 wget ,就會受影響。

惡意軟體依據系統製造商、架構、程序類型和硬體來決定哪個礦工是最適合成為受害者。

然後一個附加指令 chmod 777 a.sh 會執行,更改惡意丟棄權限設置。最終,該軟體運用另一個指令 rm -rf a.sh* 來隱藏自己,刪除下載的文件。這也掩蓋了 bug 傳播到其他受害者的痕跡。

研究員檢查了入侵文本並確認了在攻擊中被利用的三位潛在礦工——都是通過相同的 URL 遞送的,它們是:

http://198[.]98[.]51[.]104:282/x86/bash

http://198[.]98[.]51[.]104:282/arm/bash

http://198[.]98[.]51[.]104:282/aarch64/bash

研究員還發現文本通過啟用 HugePages 增強主機的記憶體,允許大於其默認大小的記憶體頁面來優化挖礦的輸出量。

假如使用該系統的礦工被發現,殭屍網絡會嘗試使其 URL 廢止,並通過更改主機代碼來中止。

有害和惡意的加密挖礦正持續的演變出新的方式來剝削受害者。去年夏天,趨勢科技觀察到另一個 ADB 的利用,稱之為Satoshi Variant

過去幾周內,黑客組織 Outlaw 被發現通過對伺服器的暴力攻擊,在中國散播另一個 Monero 的挖礦病毒。當時,研究員雖無法確定殭屍網絡是否已開始挖礦作業,但卻在文本中發現了Android APK,表明可能是專門針對安卓的設備的。

本文版權屬於 CoinDesk 中文

未經授權禁止轉載

翻譯:吳姿瑩

責編:林佳誼

獲得更多的PTT最新消息
按讚加入粉絲團