هشدارهای افتایی
پژوهشگران امنیتی در Trend Micro یک بات‌نت کاوش‌گر رمزارز اندرویدی جدید کشف کرده‌اند که از طریق پورت‌های (ADB (Android Debug Bridge باز و SSH گسترش پیدا می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی Security Affairs، ویژگی ADB یک ابزار خط فرمان (command-line) است که به توسعه‌دهندگان اجازه می‌دهد تا با یک دستگاه اندروید ارتباط برقرار کنند. از طریق ADB اقدامات متنوعی از جمله نصب و اشکال‌زدایی برنامه‌ها را می‌توان انجام داد. همچنین ADB یک دسترسی به Unix shell فراهم می‌کند که با آن می‌توان دستورات مختلفی را روی دستگاه انجام داد.
ADB می‌تواند برای هدف قرار دادن دستگاه‌های اندرویدی از طریق پورت 5555 توسط بدافزارها مورد سوء استفاده قرار گیرد. ویژگی ADB به طور معمول در دستگاه‌های اندرویدی غیرفعال است، اما برخی از سازنده‌ها این ویژگی را در دستگاه‌های خود فعال گذاشته‌اند. بات‌نتی که اخیرا توسط Trend Micro کشف شده است از طریق پورت‌های باز ADB و SSH گسترش پیدا می‌کند و به کاوش رمزارز می‌پردازد.
حملات از یک IP به آدرس 179[.]14[.]67[.]45 آغاز و به سرویس ADB در حال اجرا متصل می‌شود. نرم‌افزار مخرب در ادامه تلاش می‌کند تا چندین اقدام را انجام دهد. در ابتدا پوشه فعالیت خود را در آدرس /data/local/tmp تعیین می‌کند که در این آدرس فایل‌ها با دسترسی پیش‌فرض اجرا می‌شوند. سپس بدافزار از wget یا curl برای دانلود payload استفاده می‌کند.
Payload بدافزار دارای قابلیت انتخاب بین سه کاوش‌گر رمزارز مختلف است. این payload پس از اجرا اطلاعات سیستم آلوده از جمله سازنده، جزئیات سخت‌افزاری و معماری پردازنده را دریافت می‌کند. خروجی این اطلاعات منجر به تعیین کاوش‌گر رمز ارز می‌شود. سه کاوش‌گر مورد استفاده توسط بدافزار موارد زیر هستند:
•    http://198[.]98[.]51[.]104:282/x86/bash
•    http://198[.]98[.]51[.]104:282/arm/bash
•    http://198[.]98[.]51[.]104:282/aarch64/bash
از قابلیت‌های دیگر بدافزار می‌توان به مسدودسازی سایر بدافزارهای کاوش رمزارز اشاره کرد. این کار با ویرایش /etc/hosts انجام می‌شود. نحوه گسترش بدافزار نیز از طریق SSH انجام می‌پذیرد و هر سیستمی که به قربانی اول متصل باشد از طریق SSH مورد حمله قرار می‌گیرد.
غیرفعالسازی پورت ADB، به‌روزرسانی و اعمال وصله‌های امنیتی از راهکاری‌هایی است که برای جلوگیری از گسترش چنین بدافزارهایی توصیه شده است. در ادامه لیست نشانه‌های آلودگی (IoC) ارائه شده است:
IPها:
•    45[.]67[.]14[.]179
•    http://198[.]98[.]51[.]104:282
هش‌ها:
•    1685bc0b9923c628fcb11bdf2967db3a0639b5f603204da658a14a99410802e3
•    4f4f6ffaf9ead9f90ed738c9100b073af241cadfd2be6b89ede6d42f2a87254f
•    5d81436b511e9c39bdc5bcedf0ae6ac7ba6e1cb22f6d736d04b271d390c4675c
•    7cc15106ded4030b0e9468754cafd0ab08e5f23dca71f4020fad61c23744f034
•    ebccd99b3fe1fa0a535e43b05e512958d4b2edfa5fa2ab5a7e218ef8f6ef57ad

منابع:
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.