新的Plurox恶意软件是一个后门 密码系统和蠕虫

卡巴斯基安全团队在野外发现了一种新的恶意软件。这个新的恶意软件名为Plurox，比安全研究人员每天遇到的常见恶意软件都要高。

根据卡巴斯基的说法，Plurox尽管处于早期测试阶段，但它具有一些非常先进的功能，可以作为受感染企业网络的后门，可以横向扩散以破坏更多系统，并且可以使用八种不同插件中的一种来挖掘加密货币。

换句话说，恶意软件可以同时作为后门木马，自传病毒和密码挖掘器。

PLUROX围绕模块化结构设计

今年2月首次发现恶意软件的多方面功能集可归功于其模块化构建。

恶意软件的核心包含一个主要组件，允许Plurox机器人(受感染的主机)与命令和控制(C&C)服务器通信。

此通信组件是Plurox恶意软件的核心。根据卡巴斯基的说法，Plurox工作人员使用它来下载和运行已被感染的主机上的文件。这些附加文件名为“plugins”，是大多数恶意软件功能所在的位置。

卡巴斯基表示，它发现了八个专门用于加密货币挖掘的插件(每个插件专注于各种硬件配置上的CPU / GPU挖掘)，一个UPnP插件和一个SMB插件。

PLUROX的主要目的：加密

在分析了恶意软件如何与其C&C服务器通信之后，研究人员表示他们很快意识到恶意软件的主要目的是加密货币挖掘。

“在监控恶意软件的活动时，我们发现了两个'子网'，”卡巴斯基研究员Anton Kuzmenko说。

在一个子网中，Plurox机器人仅接收采矿模块，而在第二个子网中，所有模块均可供下载。

这两个独立的沟通渠道的目的是未知的; 然而，它表明两个子网中活跃的主要特征是加密货币挖掘，并且很可能是Plurox恶意软件首先被创建的主要原因。

SMB插件是一种重新包装的NSA漏洞利用程序

至于其他插件，Kasperksy说SMB插件是一个重新包装的EternalBlue，一个由NSA开发的漏洞，并且在2017年被一个神秘的黑客组织公开泄露。

EternalBlue目前被多个恶意软件团伙广泛使用，因此Plurox也使用它也就不足为奇了。

SMB插件的目的是允许攻击者扫描本地网络，然后通过SMB协议传播到易受攻击的工作站(通过运行EternalBlue漏洞)。

根据研究人员的说法，Plurox SMB插件的部分内容似乎是从Trickster恶意软件使用的类似SMB插件中复制而来的。

“基于此，我们可以假设分析样本来自相同的源代码(Plurox插件中缺少Trickster插件中的注释行)，这意味着Plurox和Trickster的相应创建者可能会被链接，”Kuzmenko说。

UPNP插件的灵感来自另一个NSA漏洞

但是他们最狡猾的插件都是卡巴斯基称之为UPnP插件的插件。此模块在受感染主机的本地网络上创建端口转发规则，有效地创建到企业网络的隧道(后门)并绕过防火墙和其他安全解决方案。

根据卡巴斯基的说法，Plurox团队似乎从另一个名为EternalSilence的NSA漏洞利用中创建了这个插件。但是，他们没有使用实际的EternalSilence代码，而是开发了自己的版本。

目前尚不清楚Plurox团队如何传播这种恶意软件以在大型网络上获得初步立足点。卡巴斯基的SecureList博客上提供了其他技术细节和妥协指标(IOC)。