科技

当前位置/ 首页/ 新闻频道科技 正文

新的Plurox恶意软件是一个后门 密码系统和蠕虫

卡巴斯基安全团队在野外发现了一种新的恶意软件。这个新的恶意软件名为Plurox,比安全研究人员每天遇到的常见恶意软件都要高。

根据卡巴斯基的说法,Plurox尽管处于早期测试阶段,但它具有一些非常先进的功能,可以作为受感染企业网络的后门,可以横向扩散以破坏更多系统,并且可以使用八种不同插件中的一种来挖掘加密货币。

换句话说,恶意软件可以同时作为后门木马,自传病毒和密码挖掘器。

PLUROX围绕模块化结构设计

今年2月首次发现恶意软件的多方面功能集可归功于其模块化构建。

恶意软件的核心包含一个主要组件,允许Plurox机器人(受感染的主机)与命令和控制(C&C)服务器通信。

此通信组件是Plurox恶意软件的核心。根据卡巴斯基的说法,Plurox工作人员使用它来下载和运行已被感染的主机上的文件。这些附加文件名为“plugins”,是大多数恶意软件功能所在的位置。

卡巴斯基表示,它发现了八个专门用于加密货币挖掘的插件(每个插件专注于各种硬件配置上的CPU / GPU挖掘),一个UPnP插件和一个SMB插件。

PLUROX的主要目的:加密

在分析了恶意软件如何与其C&C服务器通信之后,研究人员表示他们很快意识到恶意软件的主要目的是加密货币挖掘。

“在监控恶意软件的活动时,我们发现了两个'子网',”卡巴斯基研究员Anton Kuzmenko说。

在一个子网中,Plurox机器人仅接收采矿模块,而在第二个子网中,所有模块均可供下载。

这两个独立的沟通渠道的目的是未知的; 然而,它表明两个子网中活跃的主要特征是加密货币挖掘,并且很可能是Plurox恶意软件首先被创建的主要原因。

SMB插件是一种重新包装的NSA漏洞利用程序

至于其他插件,Kasperksy说SMB插件是一个重新包装的EternalBlue,一个由NSA开发的漏洞,并且在2017年被一个神秘的黑客组织公开泄露。

EternalBlue目前被多个恶意软件团伙广泛使用,因此Plurox也使用它也就不足为奇了。

SMB插件的目的是允许攻击者扫描本地网络,然后通过SMB协议传播到易受攻击的工作站(通过运行EternalBlue漏洞)。

根据研究人员的说法,Plurox SMB插件的部分内容似乎是从Trickster恶意软件使用的类似SMB插件中复制而来的。

“基于此,我们可以假设分析样本来自相同的源代码(Plurox插件中缺少Trickster插件中的注释行),这意味着Plurox和Trickster的相应创建者可能会被链接,”Kuzmenko说。

UPNP插件的灵感来自另一个NSA漏洞

但是他们最狡猾的插件都是卡巴斯基称之为UPnP插件的插件。此模块在受感染主机的本地网络上创建端口转发规则,有效地创建到企业网络的隧道(后门)并绕过防火墙和其他安全解决方案。

根据卡巴斯基的说法,Plurox团队似乎从另一个名为EternalSilence的NSA漏洞利用中创建了这个插件。但是,他们没有使用实际的EternalSilence代码,而是开发了自己的版本。

目前尚不清楚Plurox团队如何传播这种恶意软件以在大型网络上获得初步立足点。卡巴斯基的SecureList博客上提供了其他技术细节和妥协指标(IOC)。