En ny stamme af malware, er blevet spottet i naturen ved at Kaspersky security team. Opkaldt Plurox, dette nye malware er et snit over det sædvanlige malware stammer sikkerhed forskere støder på en daglig basis.
Ifølge Kaspersky, Plurox, på trods af at være i en tidlig test, har nogle temmelig avancerede funktioner og kan fungere som en bagdør ind inficeret virksomhedens netværk, kan sprede sig lateralt til at gå på kompromis endnu flere systemer, og kan mine lad os starte ved hjælp af en af otte forskellige plugins.
Med andre ord, den malware, der kan arbejde som en backdoor trojan, en self-spredning af virus, og en crypto-miner, alle på samme tid.
Plurox designet omkring en modulær opbygning
Set for første gang i februar i år, malware ‘ s multi-facetteret feature-sæt, der kan henføres til det modulære bygge.
Malware er kernen består af en primær komponent, der tillader Plurox bots (inficeret hosts) til at tale med en kommando og kontrol (C&C) server.
Denne kommunikation komponent er i centrum af Plurox malware. Ifølge Kaspersky, den Plurox besætning bruger det til at hente og køre filer, der allerede er inficeret hosts. Disse supplerende filer, der er navngivet “plugins” og er, hvor det meste af den malware funktioner er til stede.
Kaspersky sagde, at det findes otte plugins, som er dedikeret til cryptocurrency mining (hver plugin fokuseret på CPU/GPU minedrift på forskellige hardware konfigurationer), en UPnP-plugin, og en SMB-plugin.
Plurox ‘ s vigtigste formål: cryptomining
Efter at analysere, hvordan malware talte til sin C&C server, forskere siger, at de hurtigt indså, at malware ‘ s primære formål var cryptocurrency minedrift.
“Når overvågning af malware aktivitet, har vi fundet to “subnet’,” sagde Anton Kuzmenko, Kaspersky forsker.
I et undernet, Plurox bots kun modtaget minedrift moduler, og i det andet undernet, alle moduler er tilgængelige for download.
Formålet med disse to separate kommunikationskanaler er ukendt; men det viser, at den primære funktion er aktiv i både subnet var cryptocurrency minedrift, og mest sandsynligt hovedårsagen Plurox malware blev skabt i første omgang.
SMB-plugin er en ompakket NSA udnytte
Som for de andre plugins, Kasperksy sagde SMB-plugin blev en ompakket EternalBlue, en udnyttelse, der er udviklet af NSA og som offentligt lækket af en mystisk hacker-gruppen i 2017.
EternalBlue er i øjeblikket i vid udstrækning er ansat af flere malware bander, så det er ingen overraskelse, at Plurox er at bruge det så godt.
Formålet med SMB-plugin er at gøre det muligt for angribere at scanne lokale netværk og derefter spreder sig til sårbare arbejdsstationer via SMB-protokollen (ved at køre EternalBlue udnytte).
Per forskere, dele af Plurox ‘ s SMB-plugin synes at have været kopieret fra en tilsvarende SMB-plugin, der er ansat ved the Trickster malware.
“Baseret på dette, kan vi antage, at de analyserede prøver blev taget fra den samme kilde-kode (kommenterede linjer i Trickster plugin mangler i Plurox plugin), hvilket betyder, at de respektive skabere af Plurox og Trickster kan være sammen,” Kuzmenko sagde.
UPnP-plugin inspireret af en anden NSA udnytte
Men sneakiest plugin for dem alle er, hvad Kaspersky opkald UPnP-plugin. Dette modul skaber regler for portvideresendelse på det lokale netværk fra en smittet vært, effektivt at skabe en tunnel (bagdør) i virksomhedens netværk, og ved at omgå firewalls og andre sikkerhedsforanstaltninger løsninger.
Per Kaspersky, Plurox holdet ser ud til at have taget inspiration til at skabe dette plugin fra en anden lækket NSA udnytte opkaldt EternalSilence. Dog, de ikke bruge den faktiske EternalSilence kode, men har udviklet deres egen version i stedet.
Lige nu, det er uklart, hvordan Plurox gang er, at sprede denne malware at få en indledende fodfæste på større netværk. Yderligere tekniske oplysninger og indikatorer for kompromis (IOCs) er tilgængelige på Kaspersky ‘ s SecureList blog.
Relaterede malware og it-kriminalitet dækning:
Nye Echobot malware er et smorgasbord af vulnerabilitiesScranos malware er vendt tilbage med nye angreb og grim opgraderet featuresRansomware stopper produktionen for dage ved større fly dele manufacturerMysterious Iranske gruppe er hacking ind i DNA sequencersThis “farligste” hacking gruppen er nu sondering magt gridsMicrosoft advarer Azure kunder af Exim orm Mere end 3B falske e-mails, der sendes dagligt som phishing-angreb fortsætter TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre