1.媒體來源:
iThome
2.完整新聞標題:
新惡意程式PyRoMine現形,利用NSA外洩攻擊工具下載挖礦軟體,還會關閉安全防護
3.完整新聞內文:
PyRoMine利用NSA外洩的EternalRomance攻擊工具散佈,除了執行挖礦程式XMRig之外,還
會開啟RDP遠端桌面協定,允許通訊埠的外部流量、關閉Windows更新服務。
文/林妍溱 | 2018-04-25發表
安全公司Fortinet發現一隻挖礦軟體PyRoMine利用美國國安局(NSA)外洩的攻擊工具攻
擊Windows機器,不但在機器上挖加密貨幣,甚至會關閉安全防護機制,升高受害者未來
的安全風險。
PyRoMine是一隻以Python寫成的加密貨幣挖礦程式,來自Fortinet安全研究人員Jasper
Manuel某個惡意URL下載的zip檔。這個檔案內含的PyInstaller可將Python程式打包成獨
立的可執行檔。這表示Python惡意程式不必安裝即可執行在受害機器上。
經過分析,研究人員發現PyRoMine內含程式碼是來自EternalRomance。EternalRomance是
去年4月NSA遭駭客團體影子掮客(The Shadow Brokers)外洩的眾多攻擊工具之一。
EternalRomance則被用以散佈勒索軟體Bad Rabbits等威脅,它和後來導致WannaCry、
NotPetya攻擊的EtneralBlue等都是開採Windows機器上的SMB服務漏洞入侵。
PyRoMine下載到受害機器上即下載、執行惡意VBScripts。後者啟動遠端桌面協定(
Remote Desktop Protocol, RDP),加入一條防火牆規則使RDP port 3389允許外部流量
,同時關閉Windows Update Services,啟動遠端存取連線管理員(Remote Access
Connection Manager)服務,藉此放行未加密資料的傳輸。在啟動RDP服務後,惡意網站
得以下載了XMRig,此為網路上惡名昭彰的Monero挖礦軟體。
研究人員指出,PyRoMine並非第一個運用NSA工具散佈的挖礦程式,只要Windows機器沒有
安裝修補程式就可能遭到類似攻擊。它最大威脅在於不但使用受害機器CPU挖礦,還修改
了機器的安全服務設定,開啟RDP服務會讓機器門戶大開,使各種惡意程式趁隙而入,而
允許未加密資料傳輸也增加未來的資料安全風險。
目前Fortinet的工具已經將該惡意URL列入封鎖名單。但研究人員預期未來還會有其他威
脅使用NSA工具散佈,因此呼籲企業應儘速修補相關的Windows 漏洞CVE-2017-0144 及
CVE-2017-0145。
4.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/122663
5.備註:
快更新!!