အသစ် cryptocurrency-သတ္တုတူးဖော်ရေး botnet, အန်းဒရွိုက်ဒီဘာဂ်တံတားဆိပ်ကမ်းများအမြတ်ထုတ်ကို Android ဖုန်းများနှင့် tablet များတဲ့အများစုအပေါ် installed app ကိုချို့ယွင်းချက်ဖြေရှင်းရန်ဒီဇိုင်းရေးဆွဲတဲ့စနစ်ရှာဖွေတွေ့ရှိခဲ့တာဖြစ်ပါတယ်။
အဆိုပါ botnet ကို malware, Trend Micro ကဖော်ပြခဲ့သည်အဖြစ်, 21 နိုင်ငံများတွင်တွေ့ရှိခြင်းနှင့်တောင်ကိုရီးယားတွင်အများဆုံးဖြစ်ပါသည်ခဲ့တာဖြစ်ပါတယ်။
အဆိုပါတိုက်ခိုက်မှုပွင့်လင်း ADB ကဆိပ်ကမ်းများ default အနေဖြင့်စစ်မှန်ကြောင်းအထောက်အထားပြသခြင်းမလိုအပ်ပါဘူးလမ်းအားသာချက်ကြာနှင့်တစ်ကြိမ် installed ယခင်ကတစ်ဦး SSH ကိုကွန်နက်ရှင်မျှဝေတော်မူကြောင်းကိုမည်သည့်စနစ်ဖြန့်ဝေဖို့ဒီဇိုင်းပြုလုပ်ထားသည်။ မိုဘိုင်းကနေအရာ၏အင်တာနက်အရာအားလုံး (IoT) gadgets – – ထုတ်ကုန်တွေအများကြီးဖြစ်ပေါ်နိုင်ဖြစ်ကြောင်းအဓိပ္ပာယ် SSH ကိုဆက်သွယ်မှု Device ရဲ့ကျယ်ပြန့်ချိတ်ဆက်ပါ။
"တစ်ဦးဟုလူသိများသည့်ကိရိယာဖြစ်ခြင်းနှစ်ခုစနစ်များကိုတစ်ဦးချင်းစီစနစ်ကဘေးကင်းလုံခြုံအဖြစ်အခြားစဉ်းစား, ကနဦး key ကိုလဲလှယ်ပြီးနောက်မည်သည့်နောက်ထပ်စစ်မှန်ကြောင်းအထောက်အထားပြသခြင်းမရှိဘဲအချင်းချင်းဆက်သွယ်နိုင်သည်ကိုဆိုလိုသည်" ဟုသုတေသီများကဆိုသည်။ "တစ်ပြန့်ပွားရေးယန္တရား၏ရှေ့မှောက်တွင်ဒီ malware ကို SSH ကိုဆက်သွယ်မှုအောင်၏အသုံးများဖြစ်စဉ်ကိုအလွဲသုံးစားနိုင်သည်ကိုဆိုလိုပေမည်။ "
ဒါဟာတစ်ဦး IP လိပ်စာနှင့်အတူစတင်ခဲ့သည်။
.tmp မကြာခဏဖိုင်များကိုအဖြစ် 45 (။ ) 67 (။ ) 14 (။ ) 179 "/ Data / local / tmp" ဟု ADB ကမှတဆင့်ရောက်ရှိနှင့်ရန်လုပ်ဆောင်နေသည် directory ကို update လုပ်ဖို့အမိန့် shell ကိုအသုံးပြုသည်ပညတ်တော်ကို execute ဖို့ default အခွင့်ပြုချက်ရှိသည်။
အဆိုပါ bot တစ်ကောင်က၎င်း၏ထဲသို့ဝင်တစ်ဦး honeypot ဆုံးဖြတ်သည်ပြီးတာနဲ့သူက wget သည်ကူးစက်ခံရတဲ့စနစ်လက်ဆောင်မပါလျှင်သုံးခုကွဲပြားခြားနားသောမိုင်းလုပ်သားများနှင့်ဆံပင်ကောက်ကောက်၏ payload ကို download လုပ်ပါဖို့ wget သည် command ကိုအသုံးပြုသည်။
အဆိုပါ malware ကိုစနစ်ရဲ့ထုတ်လုပ်သူ, ဗိသုကာ, Processor ကိုအမျိုးအစားနှင့်ဟာ့ဒ်ဝဲပေါ် မူတည်. သားကောင် exploit ဖို့အကောင်းဆုံးသင့်လျော်သောအရာမိုင်းလုပ်သားဆုံးဖြတ်သည်။
တစ်ဦးအပိုဆောင်း command ကို, ထို့နောက်အန္တရာယ်ရှိတဲ့တစ်စက်၏ခွင့်ပြုချက် setting များကိုပြောင်းလဲပစ်ရန်ကွပ်မျက်ခံရသည်, 777 a.sh chmod ။ နောက်ဆုံးတွင် bot ဒေါင်းလုပ်ဖိုင်ကိုဖျက်ပစ်ရန်, * rm -rf a.sh အခြား command ကို သုံး. အိမ်ရှင်ထံမှသူ့ဟာသူဖုံးကွယ်ထား။ ဤသည်ကိုလည်း bug ကိုအခြားသားကောင်များမှပြန့်နှံ့အဖြစ်ကနေအစပြုဘယ်မှာ၏လမ်းကြောင်းဖွက်ထားပေးသည်။
သုတေသီများချေမှုန်း script ကိုဆန်းစစ်နှင့်တိုက်ခိုက်ရာတွင်အသုံးပြုနိုင်သုံးခုအလားအလာမိုင်းလုပ်သားစိတ်ပိုင်းဖြတ် – တူညီ URL ကိုကပေးပို့တဲ့အားလုံး – နေသောခေါင်းစဉ်:
http: (။ ) (။ ) (။ ) // 198 98 51 104: 282 / x86 / ကား Bash
http: // 198 98 51 104 (။ ) (။ ) (။ ): 282 / လက်မောင်း / ကား Bash
http: (။ ) (။ ) (။ ) // 198 98 51 104: 282 / aarch64 / ကား Bash
သူတို့ကအစ script ကိုသတ္တုတူးဖော်ရေး output ကိုပိုကောင်းအောင်၎င်း၏ default အနေနဲ့အရွယ်အစားထက်ကြီးမြတ်ဖြစ်ကြောင်းမှတ်ဉာဏ်စာမျက်နှာများတွင်ဖွသော HugePages ဖွင့်ခြင်းအားဖြင့်အိမ်ရှင်ရဲ့ memory ပိုကောင်းစေပါတယ်တွေ့ရှိခဲ့ပါတယ်။
မိုင်းလုပ်သားထားပြီး botnet ၎င်းတို့၏ URL ကို invalidate နှင့်အိမ်ရှင်ပြောင်းလဲနေတဲ့ code များကသူတို့ကိုသတ်ပစ်ရန်ကြိုးစားစနစ်သုံးပြီးတွေ့ရှိပါ။
Pernicious နှင့်အန္တရာယ်ရှိတဲ့ cryptomining ပေါက်အစဉ်မပြတ်သူတို့ရဲ့သားကောင် exploit ရန်နည်းလမ်းအသစ်များကိုဖြစ်ပေါ်နေသောနေကြသည်။ ပြီးခဲ့တဲ့နွေရာသီက, Trend Micro နဲ့အခြား ADB က-အမြတ်ထုတ်သူတို့ Satoshi မူကွဲဟုအမည်ပေးထားသည့်ကြောင်းလေ့လာသည်။
ရာဇဝတ်သား, ဆာဗာများကိုဆန့်ကျင် brute-force တိုက်ခိုက်မှုမှတစ်ဆင့်တရုတ်နိုင်ငံတလွှားအခြား Monero သတ္တုတူးဖော်ရေးမူကွဲပြန့်ပွားအတိတ်ရက်သတ္တပတ်ပြောက်ခဲ့ပါတယ်။ ထိုအချိန်ကသုတေသီများ botnet စစ်ဆင်ရေးတူးဖော်စတင်ခဲ့ခြင်းရှိမရှိဆုံးဖြတ်မဟုတ်ခဲ့ပေမယ့် Android ထုတ်ကုန်ကိုပစ်မှတ်ထားစေခြင်းငှါညွှန်း, ဇာတ်ညွှန်းတစ်ခုက Android APK ကိုတွေ့ရှိခဲ့ပါတယ်။
Image ကိုယဉ်ကျေး Quinn Dombrowski, Flickr ကို
Comments are closed, but trackbacks and pingbacks are open.