6月17日訊 FortiGuard 實驗室2018年6月12日發布報告披露了名為“PyRoMineIoT”的惡意軟件。該軟件不僅利用“永恒浪漫（Eternal Romance）”漏洞傳播加密挖礦軟件，還濫用被感染的設備以掃描易遭受攻擊的物聯網（IoT）設備。

FortiGuard 實驗室此前就對名為 PyRoMine 的這款基于 Python 的惡意軟件進行了分析，并預測該惡意軟件將出現新版本，因此一直對其進行追蹤。本次報告分析了升級版的 PyRoMine 惡意軟件及一款類似 PyRoMine 的惡意軟件 PyRoMineIoT。

升級版PyRoMine添混淆技術

據研究人員透露，PyRoMine 仍在開發當中，近期有了更新，并加入了混淆技術，以規避反病毒軟件的檢測。

升級版 PyRoMine 惡意軟件托管在相同的 IP 地址上（212.83.190.122），但開發者使用 PyInstaller 將其編譯成了獨立的可執行文件，并繼續利用漏洞庫網站 Exploit Database 上的“永恒浪漫”利用代碼。成功利用之后，升級版PyRoMine會下載被混淆的 VBScript。

升級版 PyRoMine 亦會設置密碼為 P@ssw0rdf0rme 的默認賬號，并將其添加到本地組中（管理員、遠程桌面用戶和用戶），之后啟用RDP，并添加防火墻規則允許3389端口上的流量。此外， 它還試圖從系統移除舊版的 PyRoMine。

PyRoMine 使用的其中一個地址池說明，攻擊者賺取了約5個門羅幣。自2018年四月以來，這款惡意軟件還感染了大量系統，五大感染重災區為新加坡、印度、中國***地區、科特迪瓦和澳大利亞。

PyRoMineIoT：挖礦、感染物聯網設備兩不誤

報告指出，PyRoMineIoT 與 PyRoMine 類似，均是基于 Python 的門羅幣挖礦惡意軟件。此外，這兩款惡意軟件均使用“永恒浪漫”漏洞進行傳播。

研究人員表示，PyRoMineIoT 的威脅來自一個偽裝成 Web 瀏覽器安全更新的惡意網站。虛假的更新經下載后為 .zip 存檔文件，其包含以 C# 編寫的下載器代理。這個代理會獲取挖礦文件和其它惡意組件，包括一個基于 Python 的惡意軟件，其利用“永恒浪漫”將下載器擴散到網絡中易遭受攻擊的設備上。該代理還會獲取組件從 Chrome 竊取用戶憑證，并通過另一個組件掃描伊朗和沙特阿拉伯使用管理員賬戶的物聯網設備。

這款惡意軟件可搜索易受攻擊的物聯網設備，但它只針對伊朗和沙特阿拉伯的此類設備。PyRoMineIoT 會將設備的 IP 信息發送至攻擊者的服務器，此舉可能是為進一步攻擊做準備。

PyRoMineIoT 與 PyRoMine 一樣，也會在被感染的系統上下載挖礦軟件XMRig。研究人員檢查其中一個地址池后發現，PyRoMineIoT 目前尚未獲得收入，這大致是因為該惡意軟件6月6日才開始傳播，且是一個未完成的項目。

Fortinet 表示，PyRoMineIoT 的開發人員對加密貨幣挖礦十分感興趣，同時也在試圖利用物聯網威脅生態系統。據研究人員預測，這種趨勢短期內不會消失。只要有機會，不法分子就會繼續利用易受攻擊的設備賺錢。