惡意軟件PyRoMineIoT瞄準(zhǔn)門羅幣 挖礦、感染物聯(lián)網(wǎng)設(shè)備兩不誤

6月17日訊 FortiGuard 實(shí)驗(yàn)室2018年6月12日發(fā)布報告披露了名為“PyRoMineIoT”的惡意軟件。該軟件不僅利用“永恒浪漫（Eternal Romance）”漏洞傳播加密挖礦軟件，還濫用被感染的設(shè)備以掃描易遭受攻擊的物聯(lián)網(wǎng)（IoT）設(shè)備。

FortiGuard 實(shí)驗(yàn)室此前就對名為 PyRoMine 的這款基于 Python 的惡意軟件進(jìn)行了分析，并預(yù)測該惡意軟件將出現(xiàn)新版本，因此一直對其進(jìn)行追蹤。本次報告分析了升級版的 PyRoMine 惡意軟件及一款類似 PyRoMine 的惡意軟件 PyRoMineIoT。

升級版PyRoMine添混淆技術(shù)

據(jù)研究人員透露，PyRoMine 仍在開發(fā)當(dāng)中，近期有了更新，并加入了混淆技術(shù)，以規(guī)避反病毒軟件的檢測。

升級版 PyRoMine 惡意軟件托管在相同的 IP 地址上（212.83.190.122），但開發(fā)者使用 PyInstaller 將其編譯成了獨(dú)立的可執(zhí)行文件，并繼續(xù)利用漏洞庫網(wǎng)站 Exploit Database 上的“永恒浪漫”利用代碼。成功利用之后，升級版PyRoMine會下載被混淆的 VBScript。

升級版 PyRoMine 亦會設(shè)置密碼為 P@ssw0rdf0rme 的默認(rèn)賬號，并將其添加到本地組中（管理員、遠(yuǎn)程桌面用戶和用戶），之后啟用RDP，并添加防火墻規(guī)則允許3389端口上的流量。此外， 它還試圖從系統(tǒng)移除舊版的 PyRoMine。

PyRoMine 使用的其中一個地址池說明，攻擊者賺取了約5個門羅幣。自2018年四月以來，這款惡意軟件還感染了大量系統(tǒng)，五大感染重災(zāi)區(qū)為新加坡、印度、中國***地區(qū)、科特迪瓦和澳大利亞。

PyRoMineIoT：挖礦、感染物聯(lián)網(wǎng)設(shè)備兩不誤

報告指出，PyRoMineIoT 與 PyRoMine 類似，均是基于 Python 的門羅幣挖礦惡意軟件。此外，這兩款惡意軟件均使用“永恒浪漫”漏洞進(jìn)行傳播。

研究人員表示，PyRoMineIoT 的威脅來自一個偽裝成 Web 瀏覽器安全更新的惡意網(wǎng)站。虛假的更新經(jīng)下載后為 .zip 存檔文件，其包含以 C# 編寫的下載器代理。這個代理會獲取挖礦文件和其它惡意組件，包括一個基于 Python 的惡意軟件，其利用“永恒浪漫”將下載器擴(kuò)散到網(wǎng)絡(luò)中易遭受攻擊的設(shè)備上。該代理還會獲取組件從 Chrome 竊取用戶憑證，并通過另一個組件掃描伊朗和沙特阿拉伯使用管理員賬戶的物聯(lián)網(wǎng)設(shè)備。

這款惡意軟件可搜索易受攻擊的物聯(lián)網(wǎng)設(shè)備，但它只針對伊朗和沙特阿拉伯的此類設(shè)備。PyRoMineIoT 會將設(shè)備的 IP 信息發(fā)送至攻擊者的服務(wù)器，此舉可能是為進(jìn)一步攻擊做準(zhǔn)備。

PyRoMineIoT 與 PyRoMine 一樣，也會在被感染的系統(tǒng)上下載挖礦軟件XMRig。研究人員檢查其中一個地址池后發(fā)現(xiàn)，PyRoMineIoT 目前尚未獲得收入，這大致是因?yàn)樵搻阂廛浖?月6日才開始傳播，且是一個未完成的項(xiàng)目。

Fortinet 表示，PyRoMineIoT 的開發(fā)人員對加密貨幣挖礦十分感興趣，同時也在試圖利用物聯(lián)網(wǎng)威脅生態(tài)系統(tǒng)。據(jù)研究人員預(yù)測，這種趨勢短期內(nèi)不會消失。只要有機(jī)會，不法分子就會繼續(xù)利用易受攻擊的設(shè)備賺錢。