XBash恶意软件:集勒索软件、加密货币挖掘、僵尸网络和蠕虫病毒于一身

Palo Alto Networks(网络安全公司)的研究人员发现了一种融合勒索软件、加密货币挖掘、僵尸网络和蠕虫病毒特性的新型恶意软件“XBash”,主要针对Linux和Microsoft Windows服务器,感染该软件的受害者多达上千人。

该软件使用Python语言开发,通过滥用合法工具PyInstaller进行分发,再转换为自带的Linux ELF可执行软件。

恶意代码溯源到的“Iron Group” 是鼎鼎有名的犯罪团伙。该组织自2016年开始活跃,因勒索软件“Iron”而著名,近年来还制造了针对手机和桌面系统的各种恶意软件门类,包括后门、加密货币挖掘及勒索软件等。

Intezer发表的报告表示:“2018年4月,在监控公共数据推送时,我们发现了一个有趣、前所未见的后门,使用Hacking Team泄露的RCS源代码,兼具勒索软件和货币挖掘、自我传播的能力,即使当前未安装、一旦安装便可快速在组织内部传播(类似WannaCry或Petya/NotPetya[1]蠕虫病毒的特性)”。

XBash的“僵尸网络、货币挖掘、勒索软件和自行传播”的特性是在 Linux系统上发现,而货币挖掘行为则是在Windows服务器上发现的,其还可使用恶意软件在线扫描漏洞服务器,通过恶意代码查找未打补丁的Web应用,进行利用或通过默认密码字典进行暴力破解攻击。

“当Xbash发现地址中有Hadoop、Redis或是ActiveMQ运行时,还会试图利用这些服务进行自行传播”。

其瞄准的三项已知漏洞有:

1.Hadoop Yarn资源管理器未经身份验证的命令执行,2016年10月披露、无CVE编码分配”;

2.Redis任意文件写入和远程命令执行,2015年10月披露、无CVE编码分配。如下图所示;

  1. ActiveMQ任意文件写入漏洞, CVE-2016-3088.

然而,该软件只有在Redis服务器遭到破坏后方可感染到Windows系统。

扫描器组件还会扫描互联网以查找运行服务的服务器,这些服务在没有密码或使用弱密码的情况下保持联机状态。扫描器针对的Web服务有:(HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh, and Rsync等。

黑客试图通过在Windows系统上从事挖矿活动来赚钱,或在运行数据库服务的Linux服务器上进行勒索攻击。

XBash组件会扫描和删除MySQL、MongoDB和PostgreSQL数据库,并勒索要求支付0.02($125)个比特币来恢复数据,不幸的是受害者永远无法恢复数据,因为恶意软件会直接删除数据而并不会备份数据。

 NotPetya是源自类似Petya的全新形式勒索病毒,可以将硬盘整个加密和锁死,从内存或者本地文件系统里提取密码。北京时间2017年6月27日晚间11点左右,欧洲再度爆发大规模网络安全事件,包括全球最大的广告公司WPP在内的欧洲企业以及乌克兰基辅机场的网络系统受到攻击,陷入瘫痪,相关用户被要求支付300美元的加密式数字货币以解锁电脑。NotPetya是利用永恒之蓝漏洞(EternalBlue)进行传播,另外,5月12日爆发的WannaCry也是用永恒之蓝进行传播。

XBash恶意软件:集勒索软件、加密货币挖掘、僵尸网络和蠕虫病毒于一身

分析报告称“在 Xbash 样本中观察到三种不同的比特币钱包地址硬编码。钱包自2018年5月以来共有48笔交易,总收入约为0.964比特币(按即时汇率约相当于6,000美元),资金正在进行转移,这表明攻击者正在大肆敛财”。

专家注意到Xbash的所有版本中都存在一个名为“LanScan”的Python类用于定位企业网络,其允许获取本地Intranet(企业内网)信息,生成一份同一子网内所有IP地址的列表,并对所有这些IP地址执行端口扫描。

该代码在恶意软件中现在还不活跃,原因可能其正处于开发状态,尚未全面执行。专家相信XBash的“进化”还未停止,其还将纳入Linux服务器的挖掘组件。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/113655.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code