新闻快讯
< >

新恶意软件PyRoMine利用“永恒浪漫”漏洞挖矿,可禁用安全功能

E安全4月27日讯 安全公司Fortinet发现一个基于Python的挖矿软件PyRoMine,该软件利用美国国家安全局(NSA)2017年4月外泄的“永恒浪漫”(Eternal Romance)漏洞攻击 Windows 设备,不但在设备上挖矿,甚至会关闭安全防护机制,从而加大了受害者的安全风险。

PyRoMine并未直接挖矿

Fortinet 安全研究人员贾斯珀·曼努埃尔表示,某个恶意 URL 下载的 zip 文件包含PyInstaller,可将 Python 代码打包成独立的可执行文件,这些 Python 代码不必安装即可在目标设备上执行。

新恶意软件PyRoMine利用NSA泄露漏洞挖门罗币,并禁用安全功能-E安全

研究人员经过分析后发现,PyRoMine 内含“永恒浪漫”的代码。“永恒浪漫”是“影子经纪人”(The Shadow Brokers)2017年4泄露的众多NSA黑客工具之一。“永恒浪漫”曾被用以散布勒索软件“坏兔子”(Bad Rabbits) 等威胁。

PyRoMine 下载并执行恶意 VBScripts,后者启动远程桌面协议(RDP),加入防火墙规则允许RDP 3389端口上的流量,同时关闭Windows 更新服务(Windows Update Services),并启用远程访问连接管理器(Remote Access Connection Manager)服务,借此允许未加密数据的传输。 在启动 RDP 服务后,便能下载门罗币挖矿软件 XMRig 进行挖矿。

研究人员指出,PyRoMine 并非第一个运用 NSA 工具的挖矿程序,只要Windows设备没有安装补丁就可能遭受此类攻击。这款恶意软件的最大威胁在于:不但利用受害设备的 CPU 来挖矿,甚至还修改了设备的安全服务设置,开启 RDP 服务会让设备面临风险,使各种恶意软件趁虚而入,而允许未加密的数据传输也会增加未来的数据安全风险。

Fortinet 呼吁企业尽快修复相关的 Windows 漏洞。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。