6月17日訊 FortiGuard 實驗室2018年6月12日發(fā)布報告披露了名為“PyRoMineIoT”的惡意軟件。該軟件不僅利用“永恒浪漫（Eternal Romance）”漏洞傳播加密挖礦軟件，還濫用被感染的設備以掃描易遭受攻擊的物聯(lián)網（IoT）設備。

FortiGuard 實驗室此前就對名為 PyRoMine 的這款基于 Python 的惡意軟件進行了分析，并預測該惡意軟件將出現(xiàn)新版本，因此一直對其進行追蹤。本次報告分析了升級版的 PyRoMine 惡意軟件及一款類似 PyRoMine 的惡意軟件 PyRoMineIoT。

升級版PyRoMine添混淆技術

據研究人員透露，PyRoMine 仍在開發(fā)當中，近期有了更新，并加入了混淆技術，以規(guī)避反病毒軟件的檢測。

升級版 PyRoMine 惡意軟件托管在相同的 IP 地址上（212.83.190.122），但開發(fā)者使用 PyInstaller 將其編譯成了獨立的可執(zhí)行文件，并繼續(xù)利用漏洞庫網站 Exploit Database 上的“永恒浪漫”利用代碼。成功利用之后，升級版PyRoMine會下載被混淆的 VBScript。

升級版 PyRoMine 亦會設置密碼為 P@ssw0rdf0rme 的默認賬號，并將其添加到本地組中（管理員、遠程桌面用戶和用戶），之后啟用RDP，并添加防火墻規(guī)則允許3389端口上的流量。此外， 它還試圖從系統(tǒng)移除舊版的 PyRoMine。

PyRoMine 使用的其中一個地址池說明，攻擊者賺取了約5個門羅幣。自2018年四月以來，這款惡意軟件還感染了大量系統(tǒng)，五大感染重災區(qū)為新加坡、印度、中國***地區(qū)、科特迪瓦和澳大利亞。

PyRoMineIoT：挖礦、感染物聯(lián)網設備兩不誤

報告指出，PyRoMineIoT 與 PyRoMine 類似，均是基于 Python 的門羅幣挖礦惡意軟件。此外，這兩款惡意軟件均使用“永恒浪漫”漏洞進行傳播。

研究人員表示，PyRoMineIoT 的威脅來自一個偽裝成 Web 瀏覽器安全更新的惡意網站。虛假的更新經下載后為 .zip 存檔文件，其包含以 C# 編寫的下載器代理。這個代理會獲取挖礦文件和其它惡意組件，包括一個基于 Python 的惡意軟件，其利用“永恒浪漫”將下載器擴散到網絡中易遭受攻擊的設備上。該代理還會獲取組件從 Chrome 竊取用戶憑證，并通過另一個組件掃描伊朗和沙特阿拉伯使用管理員賬戶的物聯(lián)網設備。

這款惡意軟件可搜索易受攻擊的物聯(lián)網設備，但它只針對伊朗和沙特阿拉伯的此類設備。PyRoMineIoT 會將設備的 IP 信息發(fā)送至攻擊者的服務器，此舉可能是為進一步攻擊做準備。

PyRoMineIoT 與 PyRoMine 一樣，也會在被感染的系統(tǒng)上下載挖礦軟件XMRig。研究人員檢查其中一個地址池后發(fā)現(xiàn)，PyRoMineIoT 目前尚未獲得收入，這大致是因為該惡意軟件6月6日才開始傳播，且是一個未完成的項目。

Fortinet 表示，PyRoMineIoT 的開發(fā)人員對加密貨幣挖礦十分感興趣，同時也在試圖利用物聯(lián)網威脅生態(tài)系統(tǒng)。據研究人員預測，這種趨勢短期內不會消失。只要有機會，不法分子就會繼續(xù)利用易受攻擊的設備賺錢。