卡巴斯基安全团队在野外发现了一种新的恶意软件。这种新的恶意软件名为Plurox,比安全研究人员每天遇到的常见恶意软件都要高。
根据卡巴斯基的说法,Plurox具有一些非常先进的功能,可以作为被感染企业网络的后门,横向传播以破坏更多系统,并使用八个不同插件中的一个来挖掘加密货币。
换句话说,恶意软件可以同时充当后门木马、自传体病毒和密码矿工。
PLUROX是围绕模块化结构设计的。
今年2月首次发现的多功能恶意软件集可归因于其模块化构造。
恶意软件的核心包含一个主要组件,该组件允许Plurox机器人(被感染的主机)与命令和控制(CC)服务器进行通信。
这个通信组件是Plurox恶意软件的核心。根据卡巴斯基的说法,Plurox的工作人员使用它在受感染的主机上下载和运行文件。这些额外的文件名是“插件”,大多数恶意软件功能都位于其中。
卡巴斯基表示,它发现了八个专用于加密货币挖掘的插件(每个插件专注于各种硬件配置上的CPU/GPU挖掘),一个UPnP插件和一个SMB插件。
PLUROX的主要用途:加密
在分析了恶意软件如何与其CC服务器通信后,研究人员表示,他们很快意识到恶意软件的主要目的是加密货币挖掘。
“在监控恶意软件的活动时,我们发现了两个‘子网’,”卡巴斯基研究员安东库兹曼科说。
在一个子网中,Plurox机器人只接收采矿模块,而在第二个子网中,所有模块都可以下载。
这两个独立通信信道的目的是未知的;但是,它表明加密货币挖掘是活跃在两个子网中的主要功能,并且它很可能是最初创建Plurox恶意软件的主要原因。
SMB插件是一个重新包装的NSA漏洞利用程序。
至于其他插件,Kasperksy表示,SMB插件是重新包装的EternalBlue,是由NSA开发的漏洞,在2017年被一个神秘的黑客组织公开泄露。
EternalBlue目前被几个恶意软件团伙广泛使用,所以Plurox也使用它并不奇怪。
SMB插件的目的是让攻击者扫描本地网络,然后通过SMB协议(通过运行EternalBlue漏洞)传播到易受攻击的工作站。
根据研究人员的说法,Plurox SMB插件的一些内容似乎是从Trickster恶意软件使用的类似SMB插件中复制的。
“基于此,我们可以假设分析样本来自同一个源代码(Trickster插件中的注释行在Plurox插件中缺失),这意味着Plurox和Trickster的对应创建者可能有关联,”库兹缅科说。
UPNP插件的灵感来自于另一个NSA漏洞。
但是他们最狡猾的插件是卡巴斯基所谓的UPnP插件。该模块在受感染主机的本地网络上创建端口转发规则,有效地创建到企业网络的隧道(后门),绕过防火墙和其他安全解决方案。
根据卡巴斯基的说法,Plurox团队似乎已经从另一个名为EternalSilence的NSA漏洞中创建了这个插件。然而,他们没有使用真正的永恒沉默代码,而是开发了自己的版本。
目前,尚不清楚Plurox团队将如何传播这种恶意软件,以在大型网络上获得初步立足点。卡巴斯基的SecureList博客上提供了其他技术细节和妥协指标(IOC)。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!