1.媒体来源:
iThome
2.完整新闻标题:
新恶意程式PyRoMine现形,利用NSA外泄攻击工具下载挖矿软件,还会关闭安全防护
3.完整新闻内文:
PyRoMine利用NSA外泄的EternalRomance攻击工具散布,除了执行挖矿程式XMRig之外,还
会开启RDP远端桌面协定,允许通讯埠的外部流量、关闭Windows更新服务。
文/林妍溱 | 2018-04-25发表
安全公司Fortinet发现一只挖矿软件PyRoMine利用美国国安局(NSA)外泄的攻击工具攻
击Windows机器,不但在机器上挖加密货币,甚至会关闭安全防护机制,升高受害者未来
的安全风险。
PyRoMine是一只以Python写成的加密货币挖矿程式,来自Fortinet安全研究人员Jasper
Manuel某个恶意URL下载的zip档。这个档案内含的PyInstaller可将Python程式打包成独
立的可执行档。这表示Python恶意程式不必安装即可执行在受害机器上。
经过分析,研究人员发现PyRoMine内含程式码是来自EternalRomance。EternalRomance是
去年4月NSA遭骇客团体影子掮客(The Shadow Brokers)外泄的众多攻击工具之一。
EternalRomance则被用以散布勒索软件Bad Rabbits等威胁,它和后来导致WannaCry、
NotPetya攻击的EtneralBlue等都是开采Windows机器上的SMB服务漏洞入侵。
PyRoMine下载到受害机器上即下载、执行恶意VBScripts。后者启动远端桌面协定(
Remote Desktop Protocol, RDP),加入一条防火墙规则使RDP port 3389允许外部流量
,同时关闭Windows Update Services,启动远端存取连线管理员(Remote Access
Connection Manager)服务,借此放行未加密资料的传输。在启动RDP服务后,恶意网站
得以下载了XMRig,此为网络上恶名昭彰的Monero挖矿软件。
研究人员指出,PyRoMine并非第一个运用NSA工具散布的挖矿程式,只要Windows机器没有
安装修补程式就可能遭到类似攻击。它最大威胁在于不但使用受害机器CPU挖矿,还修改
了机器的安全服务设定,开启RDP服务会让机器门户大开,使各种恶意程式趁隙而入,而
允许未加密资料传输也增加未来的资料安全风险。
目前Fortinet的工具已经将该恶意URL列入封锁名单。但研究人员预期未来还会有其他威
胁使用NSA工具散布,因此呼吁企业应尽速修补相关的Windows 漏洞CVE-2017-0144 及
CVE-2017-0145。
4.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/122663
5.备注:
快更新!!