Botnet sử dụng SSH và ADV để khai thác tiền điện tử qua Android

Hoài Thương, Trương Khánh Hợp, Trịnh Đình Trọng| 24/06/2019 16:39
Theo dõi ICTVietnam trên

Các nhà nghiên cứu đã phát hiện ra một mạng botnet khai thác tiền điện tử sử dụng giao diện Wi-Fi của Cầu Gỡ lỗi Android (Android Debug Bridge - ADB) và các kết nối SSH đến các máy chủ được lưu trữ trong danh sách có sẵn để lan sang các thiết bị khác.

Botnet Uses SSH and ADB to Create Android Cryptomining Army

Mặc dù ADB bị vô hiệu hóa trên hầu hết các thiết bị Android theo mặc định, một số tàu được kích hoạt cho phép kẻ tấn công lạ mặt kết nối từ xa qua cổng TCP 5555, cung cấp quyền truy cập trực tiếp qua trình ADB thường được các nhà phát triển sử dụng để cài đặt và gỡ lỗi ứng dụng.

Theo nhà nghiên cứu về mối đe dọa không gian mạng của Trend Micro, mạng botnet hoạt động tại “21 nước khác nhau, trong đó tại Nam Triều Tiên có tỷ lệ cao nhất”. Kênh tìm kiếm Shodan cho biết có 13.577 kết quả tìm kiếm trên Internet với giao diện sửa lỗi ADB được kích hoạt.

Khi bắt đầu quá trình lây nhiễm, phần mềm độc hại sẽ kết nối với các thiết bị có thể truy cập giao diện ADB và nó sẽ ngay lập tức "thay đổi thư mục làm việc của hệ thống bị tấn công thanh data hay local hoặc tmp” để tận dụng tất cả các tệp được lưu trong thư mục đó nhận quyền để thực thi theo mặc định.

Giảm tải trọng tiền điện tử

Tiếp theo, bộ cấy độc hại sẽ kiểm tra xem nó đã hạ cánh trên honeypot chưa và loại hệ thống mà nó quản lý để xâm nhập liệu có thể tải xuống một tập lệnh của phần mềm độc hại bằng cách sử dụng wget hoặc curl từ máy chủ do kẻ tấn công kiểm soát dưới dạng tập lệnh Bash tên là a.sh hay không.

Sau khi được khởi chạy trên thiết bị bị nhiễm, trình thả sẽ ngay lập tức bị loại bỏ để xóa mọi dấu vết bị nhiễm và tránh bị phát hiện.

Một công cụ khai thác sẽ được tải xuống sau khi kiểm tra cấu trúc của hệ thống với trình thả có tùy chọn "chọn từ ba công cụ khai thác có thể tải xuống khác nhau".

Miner dropper script

Theo thông lệ ngày nay, các công cụ khai thác tiền điện tử độc hại cạnh tranh cũng được bot nhắm mục tiêu để chấm dứt quá trình hoạt động và truy cập Internet của họ bị chặn bằng cách thay đổi tệp chủ /etc /, chuyển hướng tất cả các kết nối đến địa chỉ không thể định tuyến o.o.o.o

Karasek cũng lưu ý: "Để tối ưu hóa hoạt động khai thác, tập lệnh cũng tăng cường bộ nhớ của máy bị nhiễm bằng cách bật HugePages, điều này sẽ giúp hệ thống hỗ trợ các trang bộ nhớ lớn hơn kích thước mặc định của nó. Khả năng này có thể được nhìn thấy trong tập lệnh là '/ sbin /sysctl -w vm.nr_hugepages = 128 '.

Phát tán sang các thiết bị khác bằng SSH

Mặc dù botnet này có hành vi tương tự với các thiết bị mục tiêu có bật ADB nhưng phần mềm độc hại này đã thêm một cơ chế phát tán mới thông qua SSH cho phép nó lây nhiễm các hệ thống được liệt kê trong tệp đã biết của các thiết bị bị xâm nhập.

Trend Micro cho biết: "Trở thành một thiết bị được biết tới có nghĩa là hai hệ thống có thể giao tiếp với nhau mà không cần xác thực thêm sau khi trao đổi khóa ban đầu, mỗi hệ thống coi hệ thống kia là an toàn".

Infection chain

Botnet sẽ sử dụng khóa công khai id_rsa.pub của thiết bị mục tiêu và các máy chủ đã biết nếu có thể tìm thấy để kết nối với bất kỳ "thiết bị thông minh hoặc hệ thống nào đã kết nối trước đó với hệ thống bị nhiễm".

Sau khi được kết nối qua SSH với mục tiêu khác, phần mềm độc hại sẽ sử dụng tập lệnh phát tán để tải xuống, cài đặt và khởi chạy một công cụ khai thác được thiết kế đặc biệt để được thả qua vectơ tấn công này.

"Mặc dù ADB là một tính năng hữu ích cho các quản trị viên và nhà phát triển, nhưng điều quan trọng cần nhớ là một khi ADB được kích hoạt có thể khiến thiết bị và những người được kết nối với nó bị đe dọa", Karasek kết luận.

Danh sách các chỉ số thỏa hiệp (IOC) bao gồm hàm băm SHA256 cho các tập lệnh và thành phần khác nhau được sử dụng bởi botnet, cũng như địa chỉ IP của các máy chủ được sử dụng để lan công cụ độc hại có sẵn ở cuối phân tích của Karasek, cùng với nhiều chi tiết khác về hoạt động bên trong của botnet.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Botnet sử dụng SSH và ADV để khai thác tiền điện tử qua Android
POWERED BY ONECMS - A PRODUCT OF NEKO