跨國軟體公司 Trend Micro(趨勢科技)監測到新的殭屍挖礦軟體。這種新的殭屍軟體利用安卓(Android)手機和平板電腦應用程式的裝置端口漏洞進行攻擊。目前已經在 21 個國家發現這種惡意攻擊軟體,尤其在韓國更是嚴重。
Android Debug Bridge(ADB)命令列工具是 Android 軟體開發工具(Android SDK ),可以用來處理裝置間的通訊,也讓開發人員可以在Android裝置上執行和除錯應用程式。而這次的惡意攻擊就是利用 ADB 的漏洞。
這次攻擊利用了在連接 ADB 端口時不須驗證的漏洞安裝殭屍軟體,且一旦安裝以後就會自動擴算制安全外殼協定(Secure Shell,SSH)¹之前連接的所有系統,從移動設備到物聯網的工具(Internet of Thing,IoT),這意味著受影響的產品眾多。
[註*1]安全外殼協定(Secure Shell,SSH)是加密網路傳輸協定,可在不安全的網路中提供安全的傳輸環境。SSH 透過在網路中建立安全隧道,以實踐 SSH 用戶端和伺服器的連接。而 SSH 最常見的用途是遠端登入系統,用戶通常利用 SSH 來傳輸命令列介面和遠端執行命令。
根據趨勢科技的說法:
之前 SSH 連接的系統表示之前兩個系統之間在一開始密鑰交換之後,就已經認證可以相互通訊,每個系統都認為另一個系統是安全的。而像這種惡意疃以就是利用 SSH 的連結過程散播。
這類的惡意程式碼 45[.]67[.]14[.]179 經由 ADB 連線植入腳本,並加工作目錄更新為「/ data / local / tmp」,因為「.tmp」的文件通常有執行明令的默認權限。
而若是這類的惡意程式確定進入了系統的誘捕系統(Honeypot)²,它就會使用 wget ³下載三個殭屍挖礦軟體的有效載荷(payload),而如果系統中沒有 wget,惡意程式會執行 curl 下載有效載荷。
而惡意程式會根據受害者系統的類型、架構、處理器、硬體確定要使用何種殭屍挖礦軟體,緊接著,惡意程式會執行附加命令 chmod 777 a.sh 以更改「刪除惡意軟體」的權限,最後,會執行 rm -rf a.sh * 命令,將殭屍挖礦軟體隱閉起來,不讓系統發現,而這樣也會讓這個惡意程式擴散到其他系統。
而如果已經確定了受害者系統最適合的殭屍挖礦軟體,惡意程式會更改主機的 Hostcode,終止其他兩個殭屍挖礦軟體。更糟糕的是,研究人員還發現這些惡意程式會啟用 HugePages 來撐強主機的內存,優化挖礦輸出。
[註*2]:誘捕系統(Honeypot),其設計目的為佈署讓攻擊者攻陷之假系統,如同蜂蜜捕捉昆蟲般,誘使攻擊者偵測、攻擊該系統,
[註*3]:GNU Wget(簡稱:Wget)是一個在網路上進行下載的簡單而強大的自由軟體,其本身也是GNU計劃的一部分。它的名字是「World Wide Web」和「Get」的結合,同時也隱含了軟體的主要功能。目前它支援通過HTTP、HTTPS,以及FTP這三個最常見的TCP/IP協定下載。
研究人員檢查了這些惡意腳本,確定了這三種殭屍挖礦轉體,且都是由相同的 URL :
- http://198[.]98[.]51[.]104:282/x86/bash
- http://198[.]98[.]51[.]104:282/arm/bash
- http://198[.]98[.]51[.]104:282/aarch64/bash
惡意軟體正在不斷發展演化,事實上,在去年,趨勢科技也發現了另外一個殭屍網路變種,稱作 Satoshi Variant。另外,在過去幾週,趨勢科技也發現 Outlaw 駭客集團在中國散播另外一種惡意程式,用於 Monero 的挖礦,且疑似也是針對安卓的設備,因為在惡意程式的腳本發現了一個安卓應用程式。
?相關報導?
惡意軟體假冒以太坊錢包 MetaMask 上架 Google 商店,攔截用戶錢包地址的複製貼上功能
Firefox 瀏覽器推出新版本,效率增加 40%,還可以屏蔽惡意挖礦腳本
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
