یک بات نت جدید که به استخراج رمزارز می پردازند اخیرا کشف شده که از طریق پورت های Android Debug Bridge (ADB) نفوذ می کند. این پورت یک پورت سیستمی است که به منظور رفع عیب برنامه های نصب شده بر روی دستگاه های اندرویدی مورد استفاده قرار می گیرد.
این بدافزار بانت نت، طبق گزارش Trend Micro در 21 کشور پیدا شده است و در کره جنوبی شایع تر است.
این حمله از مزیت پورت های ADB استفاده می کند که به صورت پیشفرض نیاز به احراز هویت ندارد و به محز این که نصب شود، به گونه ای طراحی شده که در هر سیستمی که اخیرا یک اتصال SSH به اشتراک گذاشته، پخش شود. اتصالات SSH طیفی از دستگاه ها را به یکدیگر متصل می کند؛ همه چیز از موبایل تا ابزار آلات اینترنت اشیا که یعنی کلی کالای حساس که مورد استفاده قرار می گیرند.
یک دستگاه شناخته بودن یعنی این که دو سیستم بتوانند با یکدیگر بدون هرگونه نیاز به اعتبارسنجی و پس از رد و بدل کلید اولیه تبادل، ارتباط برقرار کنند و طرفین را به عنوان دستگاه امن بشناسند. محقق در این زمینه می گوید “وجود یک مکانیسم در حال پخش ممکن است به این معنی باشد که این بدافزار می تواند از فرآینده پرکاربرد اتصالات SSH سو استفاده کند”.
این اتفاق با یک آدرس آی پی شروع می شود.
45[.]67[.]14[.]179 از طریق ADB می رسد و از دستور شل برای تعییر مسیر فعالیت به “/data/local/tmp” استفاده می کند. چرا که فایل های .tmp معمولا دسترسی های پیش فرض برای اجرای دستورات را دارند.
به محز این که بات متوجه می شود که وارد مکانی برای اجرا شده است، از دستور wget برای دانلود سه مدل از ماینر های مختلف استفاده می کند و اگر در سیستم آلوده شده دستور wget تعریف نشده باشد از دستور curl استفاده می کند.
این بدافزار تشخیص می دهد که کدام ماینر برای اجرا در سیستم قربانی نسبت به سازنده سیستم، معماری، نوع پردازنده و سخت افزار بهتر است.
و یک دستور دیگر باسطح دسترسی 777 که a.sh است، بعد به اجرا در می آید تا مجوز تنظیمات بدافزاری را تغییر دهد. در نهایت بدافزار خود را از هاست با استفاده از دستور rm -rf a.sh* پنهان می کند تا فایل دانلود شده را پاک کند. به این شکل رد جایی که این حفره نشات گرفته نیز پنهان می دهد چرا که به دیگر قربانی ها منتقل می شود.
محققان اسکریپت مهاجم را مورد بررسی قرار داده اند و متوجه شدند که سه ماینر در حمله مورد استفاده قرار می گیرد که همگی با یک آدرس ارائه می شوند و به شرح زیر هستند.
http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash
آن ها همچنین متوجه شده اند که این اسکریپت حافظه میزبان خود را با فعال کردن قابلیت HugePages ارتقا می دهد که صفحه های حافظه را که بیشتر از اندازه پیشفرض هستند، فعال می کند تا خروجی استخراج بهتر شود.
اگر ماینر ها توسط سیستم پیدا شوند، بات نت سعی می کند تا URL های از بین ببرد و با تغییر کد هاست آن ها را نابود کند.
تابستان سال گذشته، Trend Micro بر روی یک نفوذگر دیگر از طریق ADB تحقیق کردند که آن ها به آن Satoshi Variant می گفتند.
در طی چندسال اخیر شاهد گسترش بدافزار های استخراج ارز یا کریپتو جکینگ بوده ایم. در راستای مقابله با این بدافزار ها البته برخی کمپانی نیز اقداماتی انجام داده اند از جمله موزیلا که در نسخه جدید مرورگر خود قابلیت ضد کریپتو جکینگ را ارائه کرده است.
برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام پی98 بپیوندید.
