示意圖,與新聞事件無關。

圖片來源: 

Fortinet

安全公司Fortinet發現一隻挖礦軟體PyRoMine利用美國國安局(NSA)外洩的攻擊工具攻擊Windows機器,不但在機器上挖加密貨幣,甚至會關閉安全防護機制,升高受害者未來的安全風險。

PyRoMine是一隻以Python寫成的加密貨幣挖礦程式,來自Fortinet安全研究人員Jasper Manuel某個惡意URL下載的zip檔。這個檔案內含的PyInstaller可將Python程式打包成獨立的可執行檔。這表示Python惡意程式不必安裝即可執行在受害機器上。

經過分析,研究人員發現PyRoMine內含程式碼是來自EternalRomance。EternalRomance是去年4月NSA遭駭客團體影子掮客(The Shadow Brokers)外洩的眾多攻擊工具之一。EternalRomance則被用以散佈勒索軟體Bad Rabbits等威脅,它和後來導致WannaCry、NotPetya攻擊的EtneralBlue等都是開採Windows機器上的SMB服務漏洞入侵。

PyRoMine下載到受害機器上即下載、執行惡意VBScripts。後者啟動遠端桌面協定(Remote Desktop Protocol, RDP),加入一條防火牆規則使RDP port 3389允許外部流量,同時關閉Windows Update Services,啟動遠端存取連線管理員(Remote Access Connection Manager)服務,藉此放行未加密資料的傳輸。在啟動RDP服務後,惡意網站得以下載了XMRig,此為網路上惡名昭彰的Monero挖礦軟體。

研究人員指出,PyRoMine並非第一個運用NSA工具散佈的挖礦程式,只要Windows機器沒有安裝修補程式就可能遭到類似攻擊。它最大威脅在於不但使用受害機器CPU挖礦,還修改了機器的安全服務設定,開啟RDP服務會讓機器門戶大開,使各種惡意程式趁隙而入,而允許未加密資料傳輸也增加未來的資料安全風險。

目前Fortinet的工具已經將該惡意URL列入封鎖名單。但研究人員預期未來還會有其他威脅使用NSA工具散佈,因此呼籲企業應儘速修補相關的Windows 漏洞CVE-2017-0144 及CVE-2017-0145。


Advertisement

更多 iThome相關內容