طبق گزارش ترند میکرو، باتنت استخراج رمزارزی که بهتازگی کشف شده است میتواند از طریق درگاههای باز Android Debug Bridge (ADB) و Secure Shell (SSH) منتشر شود. ADB که برای کمک به توسعهدهندگان برای برقراری ارتباط با دستگاهها بهصورت از راه دور، اجرای دستورها و کنترل دستگاه طراحی شده است، درصورت باز ماندن پورت ۵۵۵۵ میتواند گوشیهای اندرویدی را در معرض حملات بدافزاری قرار دهد. متأسفانه، بسیاری از دستگاههای اندرویدی با ADB فعال تحویل داده میشوند و باتنتهایی که بهطور خاص آنها را هدف قرار میدهند، از حدود یک سال قبل فعالیت دارند. باتنت Hide ‘N Seek که اینترنت اشیاء را هدف قرار میدهد، یکی از آنها است.
تهدیدی که بهتازگی مشاهده شده است از طریق ADB و با روشی مشابه روش استفادهشده توسط باتنت Satori دستگاههای اندرویدی را هدف قرار میدهد، اما میتواند از میزبانهای آسیبدیده به هر سیستمی که قبلاً از طریق SSH به آن متصل بوده است، منتشر شود. این باتنت بسیار فعال بوده و دستگاههایی را در ۲۱ کشور مختلف آلوده کرده است که بالاترین درصد قربانیان در کرهی جنوبی قرار دارند. بهعنوان بخشی از حمله، آدرس آیپی ۴۵٫۶۷٫۱۴٫۱۷۹ به دستگاه یا سیستم درحال اجرای ADB متصل میشود و مسیر کاری را به /data/local/tmp تغییر میدهد، زیرا فایلهایی که در آنجا قرار دارند، مجوزهای پیشفرض را برای اجرا دارند.
بهگفتهی پژوهشگران امنیتی ترند میکرو، این باتنت بررسی میکند که آیا سیستم یک Honetpot است یا خیر و سپس بار داده را بارگیری میکند و تنظیمات مجوزهای خود را تغییر میدهد تا امکان اجرای خود را فراهم کند. همچنین تلاش میکند تا همهی ردپاها را پاک کند. اطلاعات سیستم مانند سازنده، جزئیات سختافزاری و معماری پردازنده جمعآوری میشود و از دادهها برای تعیین نوع استخراجکننده استفاده میشود، زیرا اسکریپت حمله میتواند از بین سه استخراجکنندهی قابل بارگیری متفاوت انتخاب کند.
این اسکریپت با فعال کردن HugePages، حافظهی قربانی را افزایش میدهد، بنابراین سیستم میتواند صفحات حافظهی بزرگتر از اندازهی پیشفرض را پشتیبانی کند. این باتنت همچنین تلاش میکند تا یک استخراجکنندهی رقیب را مسدود کند و فرآیند آن را متوقف کند. این بدافزار پس از انتشار به دستگاههای دیگری که به سیستم متصل بودند، فایلهای بار دادهی خود را حذف میکنند تا ردپاها را از میزبان قربانی پاک کند. این باتنت تلاش میکند تا به هر دستگاهی که از طریق SSH به قربانی اصلی متصل بوده است، انتشار یابد. این دستگاهها معمولاً در یک فهرست شناختهشده قرار دارند و امکان برقراری ارتباط بدون نیاز به احراز هویت پس از تبادل کلید اولیه را فراهم میکند.
ترند میکرو تشریح میکند که ترکیب میزبانها شناختهشده و کلید عمومی قربانی این امکان را به باتنت میدهد تا به دستگاههای هوشمند یا سیستمهایی که قبلاً به سیستم آلوده متصل بودند، وصل شود. دو توزیعکننده برای آلوده کردن سیستمها از طریق SSH استفاده شده است که هردوی آنها همهی میزبانهای شناختهشده را از طریق آدرسهای IPv4 هدف قرار میدهند، اما در مسیرهای متفاوتی در این سیستمها جستجو میکنند.
رئیس آزمایشگاه جونیپر بیان کرد که شرکت آنها بیش از یک سال است که دربارهی این بردار حمله به کاربران هشدار داده است. تعداد دستگاههای آسیبپذیر از حدود ۴۰ هزار دستگاه در سال قبل به حدود ۳۰ هزار دستگاه درحالحاضر رسیده است. بسیاری از دستگاههای آسیبپذیر باقیمانده در کره، تایوان، هنگکنگ و چین قرار دارند. لازم به ذکر است که برخی از دستگاههای آسیبپذیر ستتاپ باکسهای استفادهشده برای IPTV هستند نه تلفنهای همراه. ظاهراً بسیاری از تلفنهای همراه بهخاطر فعال شدن ADB در حین روت کردن دستگاه، آسیبپذیر میشوند.