内容简介:一种新型的恶意加密货币挖矿殭尸网络被侦测到通过安卓调试桥(Android Debug Bridge, ADB)的端口运作, ADB 是用来解决多数安卓手机或平板上安装的应用程序缺陷的系统。根据趋势科技(Trend Micro)报告,这一殭尸网络恶意软件已在 21 个国家被侦测到,并在韩国最为泛滥。
一种新型的恶意加密货币挖矿殭尸网络被侦测到通过安卓调试桥(Android Debug Bridge, ADB)的端口运作, ADB 是用来解决多数安卓手机或平板上安装的应用程序缺陷的系统。
根据趋势科技(Trend Micro)报告,这一殭尸网络恶意软件已在 21 个国家被侦测到,并在韩国最为泛滥。
(来源:Pixabay)
该攻击利用了在默认的情况下可无须认证打开 ADB 端口的方式,一旦安装该恶意软件,就会散布到先前曾与该设备共享安全外壳协议(Secure Shell, SSH)连接的任何系统。 SSH 连接会与各种设备连接——从移动电话到物联网(Internet of Things, IoT)小工具——这意味着许多产品都可能受影响。
许多研究员表示,“对设备来说, “已知”意味着两系统能在交换初始密钥后,不用额外的认证就能相互连接,系统间会默认彼此是安全的”,“这存在扩散机制,表示 恶意软件能通过 SSH 连接进行广泛的滥用 。”
该恶意软件以 IP 地址开始。
45[.]67[.]14[.]179 通过 ADB 端口植入,并使用 shell 指令将工作目录更新为 “/data/local/tmp”,因为 .tmp 文件通常具有执行指令的默认权限。
一旦确认成功的植入,该恶意软件就会运用 wget 指令下载三个不同矿工的有效载荷(payload),假如受感染的系统中没有 wget ,就会受影响。
恶意软件依据系统制造商、架构、程序类型和硬件来决定哪个矿工是最适合成为受害者。
然后一个附加指令 chmod 777 a.sh 会执行,更改恶意丢弃权限设置。最终,该软件运用另一个指令 rm -rf a.sh* 来隐藏自己,删除下载的文件。这也掩盖了 bug 传播到其他受害者的痕迹。
研究员检查了入侵文本并确认了在攻击中被利用的三位潜在矿工——都是通过相同的 URL 递送的,它们是:
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
研究员还发现文本通过启用 HugePages 增强主机的内存,允许大于其默认大小的内存页面来优化挖矿的输出量。
假如使用该系统的矿工被发现,殭尸网络会尝试使其 URL 废止,并通过更改主机代码来中止。
有害和恶意的加密挖矿正持续的演变出新的方式来剥削受害者。去年夏天,趋势科技观察到另一个 ADB 的利用,称之为 Satoshi Variant 。
过去几周内,黑客组织 Outlaw 被发现通过对服务器的暴力攻击,在中国散播另一个 Monero 的挖矿病毒。当时,研究员虽无法确定殭尸网络是否已开始挖矿作业,但却在文本中发现了 Android APK ,表明 可能是专门针对安卓的设备的。
翻译:吴姿莹
声明:本文来自CoinDesk中文,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上所述就是小编给大家介绍的《新型挖矿木马入侵安卓设备组建僵尸网络》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 什么是僵尸进程,如何找到并杀掉僵尸进程?
- BYOB:我的天!又一个僵尸网络开源了BYOB僵尸网络开源代码
- 僵尸扫描
- Linux 系统中僵尸进程
- 追踪分析LiquorBot僵尸网络
- 揭秘Remcos下的僵尸网络
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
复杂:信息时代的连接、机会与布局
罗家德 / 中信出版集团股份有限公司 / 2017-8-1 / 49.00 元
信息科技一方面创造了人们互联的需要,另一方面让人们在互联中抱团以寻找归属感,因此创造了大大小小各类群体的认同和圈子力量的兴起,即互联的同时又产生了聚群,甚至聚群间的相斥。要如何分析这张网?如何预测它的未来变化?如何在网中寻找机会,实现突围?本书提出了4个关键概念──关系、圈子、自组织与复杂系统: • 关系 关系是人与人的连接,又可以被分为强关系和弱关系。强关系就是和你拥有亲密关系的人,......一起来看看 《复杂:信息时代的连接、机会与布局》 这本书的介绍吧!