طبق گزارش ترند میکرو، بات‌نت استخراج رمزارزی که به‌تازگی کشف شده است می‌تواند از طریق درگاه‌های باز Android Debug Bridge (ADB) و Secure Shell (SSH) منتشر شود. ADB که برای کمک به توسعه‌دهندگان برای برقراری ارتباط با دستگاه‌ها به‌صورت از راه دور، اجرای دستورها و کنترل دستگاه طراحی شده است، درصورت باز ماندن پورت ۵۵۵۵ می‌تواند گوشی‌های اندرویدی را در معرض حملات بدافزاری قرار دهد. متأسفانه، بسیاری از دستگاه‌های اندرویدی با ADB فعال تحویل داده می‌شوند و بات‌نت‌هایی که به‌طور خاص آن‌ها را هدف قرار می‌دهند، از حدود یک سال قبل فعالیت دارند. بات‌نت Hide ‘N Seek که اینترنت اشیاء را هدف قرار می‌دهد، یکی از آن‌ها است.

تهدیدی که به‌تازگی مشاهده شده است از طریق ADB و با روشی مشابه روش استفاده‌شده توسط بات‌نت Satori دستگاه‌های اندرویدی را هدف قرار می‌دهد، اما می‌تواند از میزبان‌های آسیب‌دیده به هر سیستمی که قبلاً از طریق SSH به آن متصل بوده است، منتشر شود. این بات‌نت بسیار فعال بوده و دستگاه‌هایی را در ۲۱ کشور مختلف آلوده کرده است که بالاترین درصد قربانیان در کره‌ی جنوبی قرار دارند. به‌عنوان بخشی از حمله، آدرس آی‌پی ۴۵٫۶۷٫۱۴٫۱۷۹ به دستگاه یا سیستم درحال اجرای ADB متصل می‌شود و مسیر کاری را به /data/local/tmp تغییر می‌دهد، زیرا فایل‌هایی که در آن‌جا قرار دارند، مجوزهای پیش‌فرض را برای اجرا دارند.

به‌گفته‌ی پژوهش‌گران امنیتی ترند میکرو، این بات‌نت بررسی می‌کند که آیا سیستم یک Honetpot است یا خیر و سپس بار داده را بارگیری می‌کند و تنظیمات مجوزهای خود را تغییر می‌دهد تا امکان اجرای خود را فراهم کند. همچنین تلاش می‌کند تا همه‌ی ردپاها را پاک کند. اطلاعات سیستم مانند سازنده، جزئیات سخت‌افزاری و معماری پردازنده جمع‌آوری می‌شود و از داده‌ها برای تعیین نوع استخراج‌کننده استفاده می‌شود، زیرا اسکریپت حمله می‌تواند از بین سه استخراج‌کننده‌ی قابل بارگیری متفاوت انتخاب کند.

این اسکریپت با فعال کردن HugePages، حافظه‌ی قربانی را افزایش می‌دهد، بنابراین سیستم می‌تواند صفحات حافظه‌ی بزرگ‌تر از اندازه‌ی پیش‌فرض را پشتیبانی کند. این بات‌نت همچنین تلاش می‌کند تا یک استخراج‌کننده‌ی رقیب را مسدود کند و فرآیند آن را متوقف کند. این بدافزار پس از انتشار به دستگاه‌های دیگری که به سیستم متصل بودند، فایل‌های بار داده‌ی خود را حذف می‌کنند تا ردپاها را از میزبان قربانی پاک کند. این بات‌نت تلاش می‌کند تا به هر دستگاهی که از طریق SSH به قربانی اصلی متصل بوده است، انتشار یابد. این دستگاه‌ها معمولاً در یک فهرست شناخته‌شده قرار دارند و امکان برقراری ارتباط بدون نیاز به احراز هویت پس از تبادل کلید اولیه را فراهم می‌کند.

ترند میکرو تشریح می‌کند که ترکیب میزبان‌ها شناخته‌شده و کلید عمومی قربانی این امکان را به بات‌نت می‌دهد تا به دستگاه‌های هوشمند یا سیستم‌هایی که قبلاً به سیستم آلوده متصل بودند، وصل شود. دو توزیع‌کننده برای آلوده کردن سیستم‌ها از طریق SSH استفاده شده است که هردوی آن‌ها همه‌ی میزبان‌های شناخته‌شده را از طریق آدرس‌های IPv4 هدف قرار می‌دهند، اما در مسیرهای متفاوتی در این سیستم‌ها جستجو می‌کنند.

رئیس آزمایشگاه جونیپر بیان کرد که شرکت آن‌ها بیش از یک سال است که درباره‌ی این بردار حمله به کاربران هشدار داده است. تعداد دستگاه‌های آسیب‌‌پذیر از حدود ۴۰ هزار دستگاه در سال قبل به حدود ۳۰ هزار دستگاه درحال‌حاضر رسیده است. بسیاری از دستگاه‌های آسیب‌پذیر باقی‌مانده در کره، تایوان، هنگ‌کنگ و چین قرار دارند. لازم به ذکر است که برخی از دستگاه‌های آسیب‌پذیر ست‌تاپ باکس‌های استفاده‌شده برای IPTV هستند نه تلفن‌های همراه. ظاهراً بسیاری از تلفن‌های همراه به‌خاطر فعال شدن ADB در حین روت کردن دستگاه، آسیب‌پذیر می‌شوند. 

منبع