频道栏目
首页 > 安全 > 网络安全 > 正文

新恶意软件PyRoMine曝光,利用“永恒浪漫”漏洞挖矿,还会关闭系统的安全防护

2018-04-28 10:03:22      个评论      
收藏   我要投稿

安全公司Fortinet发现一个基于Python的挖矿软件PyRoMine,该软件利用美国国家安全局(NSA)2017年4月外泄的“永恒浪漫”(Eternal Romance)漏洞攻击 Windows 设备,不但在设备上挖矿,甚至会关闭安全防护机制,从而加大了受害者的安全风险。

PyRoMine并未直接挖矿

Fortinet 安全研究人员贾斯珀·曼努埃尔表示,某个恶意 URL 下载的 zip 文件包含PyInstaller,可将 Python 代码打包成独立的可执行文件,这些 Python 代码不必安装即可在目标设备上执行。

研究人员经过分析后发现,PyRoMine 内含“永恒浪漫”的代码。“永恒浪漫”是“影子经纪人”(The Shadow Brokers)2017年4泄露的众多NSA黑客工具之一。“永恒浪漫”曾被用以散布勒索软件“坏兔子”(Bad Rabbits) 等威胁。

PyRoMine 下载并执行恶意 VBScripts,后者启动远程桌面协议(RDP),加入防火墙规则允许RDP 3389端口上的流量,同时关闭Windows 更新服务(Windows Update Services),并启用远程访问连接管理器(Remote Access Connection Manager)服务,借此允许未加密数据的传输。 在启动 RDP 服务后,便能下载门罗币挖矿软件 XMRig 进行挖矿。

研究人员指出,PyRoMine 并非第一个运用 NSA 工具的挖矿程序,只要Windows设备没有安装补丁就可能遭受此类攻击。这款恶意软件的最大威胁在于:不但利用受害设备的 CPU 来挖矿,甚至还修改了设备的安全服务设置,开启 RDP 服务会让设备面临风险,使各种恶意软件趁虚而入,而允许未加密的数据传输也会增加未来的数据安全风险。

Fortinet 呼吁企业尽快修复相关的 Windows 漏洞。

上一篇:可怕!全球4万家酒店将面临“万能房卡”威胁
下一篇:攻击预警|GreenFlashSundown Exploit Kit攻击国内多家大型站点
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站