趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。
利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。
技术细节
已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。
图1.攻击感染链
攻击首先使用ADB命令shell将受攻击系统的工作目录更改为“/ data / local / tmp”,因为.tmp文件通常具有默认执行权限。
机器人随后将判断它所进入的系统类型以及系统是否是蜜罐,如命令“uname -a”所示。
然后将使用wget下载有效负载,如果受感染系统中没有wget,则使用curl。然后机器人发出命令“chmod 777 a.sh”以更改下载的有效负载的权限设置,允许它被执行。
最后,当执行“a.sh”时,其踪迹将通过执行“rm -rf a.sh *”命令而被删除。所有这些命令都可以在恶意软件的代码中看到,如图2所示。
图2.恶意软件脚本的快照显示了它执行的命令
有效负载
“a.sh”的脚本显示此攻击将从三个不同的挖矿软件中进行选择,三个都可下载。这可以在“uname -m”命令的输出中看到,如上面图2所示。
“uname -m”命令一旦执行,就会获取受感染系统的信息,例如其制造商、硬件详细信息和处理器体系结构。此命令的输出可以作为一个变量数据,用于确定在攻击中使用哪种挖矿软件。
根据上文所述,如果uname -m获得了指示受感染系统的处理器类型的字符串,则它使用附加的wget命令来下载该挖矿软件。如果系统没有wget,它将使用curl。
下面列出了可用于此攻击的三类挖矿软件,都可以通过相同的URL提供。
· http://198[.]98[.]51[.]104:282/x86/bash
· http://198[.]98[.]51[.]104:282/arm/bash
· http://198[.]98[.]51[.]104:282/aarch64/bash
为了优化挖掘活动,该脚本还通过启用HugePages来增强被入侵设备的内存,将有助于系统支持大于其默认大小的内存页。此功能在脚本中可以看作“/ sbin / sysctl -w vm.nr_hugepages = 128”。
此僵尸网络还试图通过修改/ etc / hosts来阻止其竞争对手。通过添加附加记录“0.0.0.0 miningv2.duckdns.org”,它会阻止对手方的URL。它还使用命令“pkill -9 r32”杀掉了竞争对手的进程。
最后,它采用了一种删除下载文件的规避技术。传播到连接到系统的其它设备后,它会删除其有效负载文件,删除在受害主机上的踪迹。
传播机制
该攻击另一个值得注意的问题是存在使用SSH的传播机制,虽然这不是什么独有特征。任何连接到原始受感染设备并通过SSH受到攻击的系统,都可能是在其操作系统中被列为“已知”(known)的设备。成为“已知”设备意味着在初始密钥交换之后,两个系统可以彼此通信而无需任何进一步的认证,每个系统认为另一个是安全的。这种传播机制的存在意味着此恶意软件可能滥用广泛使用的SSH连接过程。
这个已知设备列表和SSH设置保存在“已知主机”(known_hosts)中,可以在恶意软件的代码中看到。已知主机和受害设备公钥的组合使僵尸网络可以连接到先前连接到受感染系统的智能设备或系统。完成这个操作,它使用了两个散布工具,如图3和图4所示。
图3.显示恶意软件的第一个散布工具的代码快照
图4.显示恶意软件的第二个散布工具的代码快照
第一个散布工具通过IPv4地址从已知主机获取所有系统,访问它们,并安装在最初受攻击的系统中使用的相同挖矿软件。第二个脚本具有相同的目的,但它在不同的目录中搜索“known_hosts”。这两个散布工具帮助僵尸网络发动攻击并感染与第一个受影响系统通信的其它系统。
结论和安全建议
尽管ADB对于管理员和开发人员来说是一项非常有用的功能,但请务必记住,启用的ADB可能会将设备及其连接的设备暴露于攻击威胁之中。
用户还可以遵循其他最佳实践来防御非法加密货币挖矿活动和僵尸网络,例如:
• 必要时检查并更改默认设置以提高安全性
• 更新设备固件并应用可用的修补程序
• 了解攻击者用于传播这些类型的恶意软件的方法,并针对它们定制防御措施。
攻击提示(IoC)
URL
· 45[.]67[.]14[.]179
· http://198[.]98[.]51[.]104:282
本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-mining-botnet-arrives-through-adb-and-spreads-through-ssh/如若转载,请注明原文地址: https://www.4hou.com/encrypted/18774.html