服务热线:400-710-8008

首页>>公司新闻 >> 行业动态>>Xbash———集勒索软件、挖矿、僵尸网络、蠕虫功能于一身的恶意软件
详细内容

Xbash———集勒索软件、挖矿、僵尸网络、蠕虫功能于一身的恶意软件

        Palo Alto Network的研究团队发现了一种新的恶意软件,被称为XBash,主要针对Linux和Windows服务器。

        Xbash是使用Python开发的,然后通过滥用合法工具PyInstaller进行分发,集合了勒索软件、挖矿、僵尸网络和蠕虫等多种功能特性。

        研究人员称,“Xbash拥有勒索软件和挖矿功能,它还具有自我传播的能力,意味着它具有类似于WannaCryPetya / NotPetya的蠕虫特征。”

        “一旦安装,便可在组织内部迅速传播,就像WannaCryPetya / NotPetyaa。”

        恶意软件Xbash来自Iron Group, Iron Group自2016年以来一直很活跃,因执行勒索软件攻击被人们熟知。多年来该Iron Group构建了各种恶意软件,包括后门、挖矿软件和勒索软件。

        “20184月,在监控公共数据推送时,我们发现了一个有趣的、前所未见的后门,使用Hacking Team泄露的RCS源代码。”

        “我们发现这个后门是由Iron Group开发的,之前的Maktub勒索软件也是来自于他们。”

         Iron Group开发的恶意软件已经感染了成千上万个组织。

         根据研究人员对Xbash样本的分析利用,Xbash可以在 Linux系统上能实现“僵尸网络、勒索软件”的特性,而在Windows系统上能实现“挖矿”。

         Xbash具备在线扫描功能,通过一系列已知漏洞或者暴力破解密码来进行攻击。

        “当Xbash发现地址中有HadoopRedisActiveMQ正在运行时,还会尝试利用这些服务进行自行传播。”

       “Xbash瞄准的三项已知漏洞有:

      1. Hadoop Yarn资源管理器未经身份验证的命令执行,于201610月披露,未分配CVE编号。

     2. Redis任意文件写入和远程命令执行,于201510月披露,未分配CVE编号。

     3. ActiveMQ任意文件写入漏洞,CVE-2016-3088。”

     只有在Redis服务器遭到破坏后,恶意软件才能感染Windows系统。

     扫描程序组件还会扫描网络以查找运行服务的服务器,这些服务在没有密码或使用弱密码的情况下保持联机状态。扫描程序针对的Web服务有:HTTP,VNC,MariaDB,MySQL,PostgreSQL,Redis,MongoDB,Oracle DB,CouchDB,ElasticSearch,Memcached,FTP,Telnet,RDP,UPnP / SSDP,NTP,DNS,SNMP,LDAP,Rexec, Rlogin,Rsh和Rsync等。

    攻击者通过在Windows系统上挖矿来赚钱。或者,扫描并删除MySQL、MongoDB和PostgreSQL数据库,受害者要想恢复数据,必须支付他们0.02个比特币(125美元)。但是,不管是否支付赎金,受害者永远无法恢复他们的数据,因为Xbash是删除数据前并不会备份数据。


  “我们在Xbash样本中观察到三种不同的比特币钱包地址硬编码。自20185月以来,这些钱包有48笔交易,总收入约为0.964比特币(约为6000美元)。”

   研究人员发现Xbash的所有版本中都存在一个名为“LanScan”的Python类,用于定位企业网络。该类允许获取本地Intranet信息,生成一份包含同一子网内所有IP地址的列表,并对所有这些IP执行端口扫描。

   目前,Xbash在市面上还不活跃,可能尚在开发状态。所以,我们相信Xbash的功能可能会更加“全面”,或许之后在安装Linux系统的服务器上也可以挖矿。

   安全建议:

   l  使用复杂的密码,并且定期修改;

   l  尽可能频繁地进行数据备份;

   l  限制对未知远程服务器的访问;

   l  及时更新系统软件和防火墙程序。

 

技术支持: 快欣科技