Necro惡意軟件更新,添加新的漏洞利用和加密貨幣挖礦功能。
Necro(N3Cr0m0rPh)是一款基于Python的能夠自我復(fù)制和多態(tài)的僵尸主機(jī)。Necro最早是在2015年出現(xiàn)的,攻擊目標(biāo)包括Linux和Windows設(shè)備。今年年初開(kāi)始發(fā)起名為“FreakOut的攻擊活動(dòng),利用運(yùn)行Linux系統(tǒng)的NAS設(shè)備中的漏洞來(lái)將受害者機(jī)器納入到僵尸網(wǎng)絡(luò)中,并發(fā)起DDoS攻擊和門(mén)羅幣加密貨幣挖礦攻擊。
其最近的活動(dòng)表明該僵尸主機(jī)發(fā)生了許多變化,包括使用不同的C2通信,加入新的漏洞利用來(lái)進(jìn)行傳播,包括使用VMWare vSphere、SCO OpenServer、Vesta控制面板和基于 SMB的漏洞利用。新的變化表明該惡意軟件在增強(qiáng)感染有漏洞的系統(tǒng)和繞過(guò)檢測(cè)的能力。
除了DDoS和下載啟動(dòng)啟動(dòng)payload的類(lèi)RAT功能外,Necro還可以通過(guò)安裝rootkit來(lái)隱藏自己的活動(dòng)。此外,僵尸主機(jī)還可以從通過(guò)向受感染的系統(tǒng)中的HTML文件和PHP文件注入惡意代碼來(lái)從遠(yuǎn)程服務(wù)器處提取和執(zhí)行基于JS的挖礦機(jī)。
5月18日新版本的僵尸網(wǎng)絡(luò)中利用了EternalBlue (CVE-2017-0144) 和EternalRomance (CVE-2017-0145) 2個(gè)利用Windows SMB協(xié)議的遠(yuǎn)程代碼執(zhí)行漏洞。這些新加入的功能表明惡意軟件開(kāi)發(fā)人員通過(guò)利用公開(kāi)的漏洞來(lái)開(kāi)發(fā)新的惡意軟件傳播方法。
此外,該惡意軟件還融入了多態(tài)引擎來(lái)對(duì)源代碼在保持原始算法功能不發(fā)生改變的情況下進(jìn)行轉(zhuǎn)化,以限制惡意代碼被檢測(cè)到的可能性。