6月17日訊 FortiGuard 實(shí)驗(yàn)室2018年6月12日發(fā)布報(bào)告披露了名為“PyRoMineIoT”的惡意軟件。該軟件不僅利用“永恒浪漫（Eternal Romance）”漏洞傳播加密挖礦軟件，還濫用被感染的設(shè)備以掃描易遭受攻擊的物聯(lián)網(wǎng)（IoT）設(shè)備。

FortiGuard 實(shí)驗(yàn)室此前就對(duì)名為 PyRoMine 的這款基于 Python 的惡意軟件進(jìn)行了分析，并預(yù)測(cè)該惡意軟件將出現(xiàn)新版本，因此一直對(duì)其進(jìn)行追蹤。本次報(bào)告分析了升級(jí)版的 PyRoMine 惡意軟件及一款類(lèi)似 PyRoMine 的惡意軟件 PyRoMineIoT。

升級(jí)版PyRoMine添混淆技術(shù)

據(jù)研究人員透露，PyRoMine 仍在開(kāi)發(fā)當(dāng)中，近期有了更新，并加入了混淆技術(shù)，以規(guī)避反病毒軟件的檢測(cè)。

升級(jí)版 PyRoMine 惡意軟件托管在相同的 IP 地址上（212.83.190.122），但開(kāi)發(fā)者使用 PyInstaller 將其編譯成了獨(dú)立的可執(zhí)行文件，并繼續(xù)利用漏洞庫(kù)網(wǎng)站 Exploit Database 上的“永恒浪漫”利用代碼。成功利用之后，升級(jí)版PyRoMine會(huì)下載被混淆的 VBScript。

升級(jí)版 PyRoMine 亦會(huì)設(shè)置密碼為 P@ssw0rdf0rme 的默認(rèn)賬號(hào)，并將其添加到本地組中（管理員、遠(yuǎn)程桌面用戶和用戶），之后啟用RDP，并添加防火墻規(guī)則允許3389端口上的流量。此外， 它還試圖從系統(tǒng)移除舊版的 PyRoMine。

PyRoMine 使用的其中一個(gè)地址池說(shuō)明，攻擊者賺取了約5個(gè)門(mén)羅幣。自2018年四月以來(lái)，這款?lèi)阂廛浖€感染了大量系統(tǒng)，五大感染重災(zāi)區(qū)為新加坡、印度、中國(guó)***地區(qū)、科特迪瓦和澳大利亞。

PyRoMineIoT：挖礦、感染物聯(lián)網(wǎng)設(shè)備兩不誤

報(bào)告指出，PyRoMineIoT 與 PyRoMine 類(lèi)似，均是基于 Python 的門(mén)羅幣挖礦惡意軟件。此外，這兩款?lèi)阂廛浖褂谩坝篮憷寺甭┒催M(jìn)行傳播。

研究人員表示，PyRoMineIoT 的威脅來(lái)自一個(gè)偽裝成 Web 瀏覽器安全更新的惡意網(wǎng)站。虛假的更新經(jīng)下載后為 .zip 存檔文件，其包含以 C# 編寫(xiě)的下載器代理。這個(gè)代理會(huì)獲取挖礦文件和其它惡意組件，包括一個(gè)基于 Python 的惡意軟件，其利用“永恒浪漫”將下載器擴(kuò)散到網(wǎng)絡(luò)中易遭受攻擊的設(shè)備上。該代理還會(huì)獲取組件從 Chrome 竊取用戶憑證，并通過(guò)另一個(gè)組件掃描伊朗和沙特阿拉伯使用管理員賬戶的物聯(lián)網(wǎng)設(shè)備。

這款?lèi)阂廛浖伤阉饕资芄舻奈锫?lián)網(wǎng)設(shè)備，但它只針對(duì)伊朗和沙特阿拉伯的此類(lèi)設(shè)備。PyRoMineIoT 會(huì)將設(shè)備的 IP 信息發(fā)送至攻擊者的服務(wù)器，此舉可能是為進(jìn)一步攻擊做準(zhǔn)備。

PyRoMineIoT 與 PyRoMine 一樣，也會(huì)在被感染的系統(tǒng)上下載挖礦軟件XMRig。研究人員檢查其中一個(gè)地址池后發(fā)現(xiàn)，PyRoMineIoT 目前尚未獲得收入，這大致是因?yàn)樵搻阂廛浖?月6日才開(kāi)始傳播，且是一個(gè)未完成的項(xiàng)目。

Fortinet 表示，PyRoMineIoT 的開(kāi)發(fā)人員對(duì)加密貨幣挖礦十分感興趣，同時(shí)也在試圖利用物聯(lián)網(wǎng)威脅生態(tài)系統(tǒng)。據(jù)研究人員預(yù)測(cè)，這種趨勢(shì)短期內(nèi)不會(huì)消失。只要有機(jī)會(huì)，不法分子就會(huì)繼續(xù)利用易受攻擊的設(shè)備賺錢(qián)。