Mining Botnet nutzt ADB-Ports und SSH aus

Originalbeitrag von Jindrich Karasek

Derzeit ist ein neues Kryptowährungs-Mining Botnet aktiv, das über offene ADB (Android Debug Bridge)-Ports kommt und sich via SSH verbreitet. Dieser Angriff nutzt — wie schon das Satori-Botnet — die Tatsache aus, dass offene ADB-Ports nicht standardmäßig mit Authentifizierung ausgestattet sind. Das aktuelle Bot ist darauf zugeschnitten, sich vom infizierten Host auf jeglichen Systemen zu verbreiten, die vorher eine SSH-Verbindung zum Host hatten.
Die Sicherheitsforscher entdeckten Aktivitäten dieser Malware in 21 verschiedenen Ländern, wobei die Schadsoftware in Südkorea am aktivsten ist.

Bild. Der Infektionsablauf bei einem Angriff

Die technischen Details zu den Angriffen finden Sie im Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Auch wenn ADB für Administratoren und Entwickler eine nützliche Funktionalität darstellt, so sollte nicht vergessen werden, dass ADB die Geräte dieser Bedrohungen aussetzen kann.

Nutzer sollten zu ihrem besseren Schutz die folgenden Best Practices befolgen:

  • Prüfen und Ändern von Standardeinstellungen, die die Sicherheit zu verbessern,
  • Aktualisieren der Firmware des Geräts und Aufspielen von vorhandenen Patches,
  • Wissen um die Methoden der Angreifer für die Verbreitung dieser Art von Malware und die Verteidigung danach ausrichten.

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites.

Des Weiteren bietet eine mehrschichtige Sicherheitslösung Schutz vor den unterschiedlichen Varianten von Kryptowährungs-Minern. Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Indicators of Compromise (IoCs) sowie betroffene URLs beinhaltet der Originalbeitrag.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.