恶意软件PyRoMineIoT瞄准门罗币 挖矿、感染物联网设备两不误.doc

《恶意软件PyRoMineIoT瞄准门罗币 挖矿、感染物联网设备两不误.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、恶意软件PyRoMineIoT瞄准门罗币挖矿、感染物联网设备两不误　　FortiGuard实验室此前就对名为PyRoMine的这款基于Python的恶意软件进行了分析，并预测该恶意软件将出现新版本，因此一直对其进行追踪。本次报告分析了升级版的PyRoMine恶意软件及一款类似PyRoMine的恶意软件PyRoMineIoT。　　　　升级版PyRoMine添混淆技术　　据研究人员透露，PyRoMine仍在开发当中，近期有了更新，并加入了混淆技术，以规避反病毒软件的检测。　　升级版PyRoMine恶意软件托管在相同的I

2、P地址上（212.83.190.122），但开发者使用PyInstaller将其编译成了独立的可执行文件，并继续利用漏洞库网站ExploitDatabase上的“永恒浪漫”利用代码。成功利用之后，升级版PyRoMine会下载被混淆的VBScript。　　升级版PyRoMine亦会设置密码为P@ssw0rdf0rme的默认账号，并将其添加到本地组中（管理员、远程桌面用户和用户），之后启用RDP，并添加防火墙规则允许3389端口上的流量。此外，它还试图从系统移除旧版的PyRoMine。　　PyRoMine使用的其中一个

3、地址池说明，攻击者赚取了约5个门罗币。自2018年四月以来，这款恶意软件还感染了大量系统，五大感染重灾区为新加坡、印度、中国台湾地区、科特迪瓦和澳大利亚。　　PyRoMineIoT：挖矿、感染物联网设备两不误　　报告指出，PyRoMineIoT与PyRoMine类似，均是基于Python的门罗币挖矿恶意软件。此外，这两款恶意软件均使用“永恒浪漫”漏洞进行传播。　　研究人员表示，PyRoMineIoT的威胁来自一个伪装成Web浏览器安全更新的恶意网站。虚假的更新经下载后为.zip存档文件，其包含以C#编写的下载器代理

4、。这个代理会获取挖矿文件和其它恶意组件，包括一个基于Python的恶意软件，其利用“永恒浪漫”将下载器扩散到网络中易遭受攻击的设备上。该代理还会获取组件从Chrome窃取用户凭证，并通过另一个组件扫描伊朗和沙特阿拉伯使用管理员账户的物联网设备。　　这款恶意软件可搜索易受攻击的物联网设备，但它只针对伊朗和沙特阿拉伯的此类设备。PyRoMineIoT会将设备的IP信息发送至攻击者的服务器，此举可能是为进一步攻击做准备。　　PyRoMineIoT与PyRoMine一样，也会在被感染的系统上下载挖矿软件XMRig。研究人员

5、检查其中一个地址池后发现，PyRoMineIoT目前尚未获得收入，这大致是因为该恶意软件6月6日才开始传播，且是一个未完成的项目。　　Fortinet表示，PyRoMineIoT的开发人员对加密货币挖矿十分感兴趣，同时也在试图利用物联网威胁生态系统。据研究人员预测，这种趋势短期内不会消失。只要有机会，不法分子就会继续利用易受攻击的设备赚钱。