Necro恶意软件更新,添加了新的漏洞利用和加密货币挖掘功能。Necro(N3Cr0m0rPh)是一个基于Python的僵尸主机,能够自我复制和多态。Necro于2015年首次出现,同时针对Linux和Windows设备。今年年初,发起了一场名为“FreakOut”的攻击活动,利用运行Linux系统的NAS设备中的漏洞将受害机器编入僵尸网络,并发起DDoS攻击和门罗币挖矿攻击。其最近的活动表明,僵尸主机发生了很多变化,包括使用不同的C2通信,添加新的传播漏洞,包括使用VMWarevSphere、SCOOpenServer、Vesta控制面板和基于SMB的漏洞利用。新变化表明恶意软件正在增强感染易受攻击系统和绕过检测的能力。除了下载和启动有效载荷的DDoS和类似RAT的功能外,Necro还可以通过安装rootkit来隐藏其活动。此外,僵尸主机可以向受感染系统中的HTML文件和PHP文件注入恶意代码,从而从远程服务器中提取并执行基于JS的矿工。EternalBlue(CVE-2017-0144)和EternalRomance在5月18日新版僵尸网络(CVE-2017-0145)中被利用2远程代码执行漏洞利用WindowsSMB协议。这些新添加的功能表明恶意软件开发人员利用公开可用的漏洞来开发新的恶意软件传播方法。此外,该恶意软件在保持原有算法功能不变的情况下,加入了多态引擎对源代码进行改造,从而限制了恶意代码被检测到的可能性。完整技术分析报告见:https://blog.talosintelligence.com/2021/06/necro-python-bot-adds-new-tricks.html本文翻译自:https://thehackernews.com/2021/06/necro-python-malware-upgrades-with-new.html【责任编辑:赵宁宁TEL:(010)68476606】
