新的Plurox恶意软件是一个后门密码系统和蠕虫

卡巴斯基安全团队在野外发现了一种新的恶意软件。这种新的恶意软件名为Plurox，比安全研究人员每天遇到的常见恶意软件都要高。

根据卡巴斯基的说法，Plurox具有一些非常先进的功能，可以作为被感染企业网络的后门，横向传播以破坏更多系统，并使用八个不同插件中的一个来挖掘加密货币。

换句话说，恶意软件可以同时充当后门木马、自传体病毒和密码矿工。

PLUROX是围绕模块化结构设计的。

今年2月首次发现的多功能恶意软件集可归因于其模块化构造。

恶意软件的核心包含一个主要组件，该组件允许Plurox机器人(被感染的主机)与命令和控制(CC)服务器进行通信。

这个通信组件是Plurox恶意软件的核心。根据卡巴斯基的说法，Plurox的工作人员使用它在受感染的主机上下载和运行文件。这些额外的文件名是“插件”，大多数恶意软件功能都位于其中。

卡巴斯基表示，它发现了八个专用于加密货币挖掘的插件(每个插件专注于各种硬件配置上的CPU/GPU挖掘)，一个UPnP插件和一个SMB插件。

PLUROX的主要用途：加密

在分析了恶意软件如何与其CC服务器通信后，研究人员表示，他们很快意识到恶意软件的主要目的是加密货币挖掘。

“在监控恶意软件的活动时，我们发现了两个‘子网’，”卡巴斯基研究员安东库兹曼科说。

在一个子网中，Plurox机器人只接收采矿模块，而在第二个子网中，所有模块都可以下载。

这两个独立通信信道的目的是未知的；但是，它表明加密货币挖掘是活跃在两个子网中的主要功能，并且它很可能是最初创建Plurox恶意软件的主要原因。

SMB插件是一个重新包装的NSA漏洞利用程序。

至于其他插件，Kasperksy表示，SMB插件是重新包装的EternalBlue，是由NSA开发的漏洞，在2017年被一个神秘的黑客组织公开泄露。

EternalBlue目前被几个恶意软件团伙广泛使用，所以Plurox也使用它并不奇怪。

SMB插件的目的是让攻击者扫描本地网络，然后通过SMB协议(通过运行EternalBlue漏洞)传播到易受攻击的工作站。

根据研究人员的说法，Plurox SMB插件的一些内容似乎是从Trickster恶意软件使用的类似SMB插件中复制的。

“基于此，我们可以假设分析样本来自同一个源代码(Trickster插件中的注释行在Plurox插件中缺失)，这意味着Plurox和Trickster的对应创建者可能有关联，”库兹缅科说。

UPNP插件的灵感来自于另一个NSA漏洞。

但是他们最狡猾的插件是卡巴斯基所谓的UPnP插件。该模块在受感染主机的本地网络上创建端口转发规则，有效地创建到企业网络的隧道(后门),绕过防火墙和其他安全解决方案。

根据卡巴斯基的说法，Plurox团队似乎已经从另一个名为EternalSilence的NSA漏洞中创建了这个插件。然而，他们没有使用真正的永恒沉默代码，而是开发了自己的版本。

目前，尚不清楚Plurox团队将如何传播这种恶意软件，以在大型网络上获得初步立足点。卡巴斯基的SecureList博客上提供了其他技术细节和妥协指标(IOC)。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！