新型跨平台恶意软件XBash 功能强大

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Palo Alto Network的研究人员发现了一种新的恶意软件,它被追踪为XBash,它结合了勒索软件,加密货币矿工,僵尸网络蠕虫的功能。
Palo Alto Networks的安全研究人员发现了一种新的恶意软件,被称为XBash,主要针对Linux和Microsoft Windows服务器。

Xbash是使用Python开发的,然后作者通过滥用合法工具PyInstaller 进行分发,转换为自包含的Linux ELF可执行文件 。

恶意代码结合了不同恶意软件系列的功能,如勒索软件,加密货币矿工,僵尸网络和蠕虫。

Xbash拥有勒索软件和核心功能。它还具有自我传播功能(意味着它具有类似于WannaCry或Petya / NotPetya的蠕虫特征)。读取Palo Alto Networks发布的分析。

它还具有目前尚未实施的功能,在实施后,可以使其在组织网络内快速传播(再次像WannaCry或Petya / NotPetya一样)。

恶意代码归咎于一个被追踪为Iron Group的流行犯罪团伙。

Iron cybercrime集团自2016年以来一直活跃,以Iron勒索软件而闻名,但多年来它构建了各种恶意软件,包括后门,加密货币矿工和勒索软件,以同时针对移动和桌面系统。

在2018年4月,在监控公共数据源时,我们注意到使用HackingTeam泄露的RCS源代码的一个有趣且以前未知的后门。 Intezer 发布 的 报告指出。

我们发现这个后门是由Iron网络犯罪集团开发的,这个团体是铁勒索软件背后的同一组织(最近由Bart Parys发现的破坏Maktub勒索软件 ),我们认为这些活动在过去18个月里一直很活跃。

成千上万的受害者已被犯罪团伙使用的恶意软件感染。

现在,来自Palo Alto Networks的专家发现了新的XBash恶意软件应用程序,它结合了僵尸网络,硬币化,勒索软件和自我传播。僵尸网络和勒索软件功能在Linux系统的感染中被观察到,而在Windows服务器的感染中看到了硬币工作者行为。

Xbash作者已经实施了恶意软件用于在线搜索易受攻击服务器的扫描功能。恶意代码搜索易受一系列已知漏洞攻击的未修补的Web应用程序,或使用默认凭据字典强行攻击。

当Xbash发现目的地有Hadoop,Redis或ActiveMQ正在运行时,它也会尝试利用该服务进行自我传播。报告继续说道。

目标有三个已知漏洞:

Hadoop YARN ResourceManager未经身份验证的命令执行,于2016年10月首次披露,未分配CVE编号。
Redis任意文件写入和远程命令执行,于2015年10月首次公开,未分配CVE编号。
ActiveMQ任意文件写入漏洞,CVE-2016-3088。

只有在易受攻击的Redis服务器遭到破坏后,恶意软件才能感染Windows系统。

扫描程序组件还会扫描Internet以查找运行服务的服务器,这些服务在没有密码的情况下保持联机状态,或者使用弱凭据。扫描仪针对Web服务器(HTTP),VNC,MariaDB,MySQL,PostgreSQL,Redis,MongoDB,Oracle DB,CouchDB,ElasticSearch,Memcached,FTP,Telnet,RDP,UPnP / SSDP,NTP,DNS,SNMP,LDAP,Rexec, Rlogin,Rsh和Rsync。

黑客试图通过Windows系统上的硬币挖掘活动或基于勒索软件攻击运行数据库服务的Linux服务器来赚钱。

XBash组件将扫描并删除MySQL,MongoDB和PostgreSQL数据库,并收取赎金,要求支付0.02比特币(125美元)以恢复它们。

新型跨平台恶意软件XBash 功能强大

不幸的是,受害者永远无法恢复他们的数据,因为恶意软件会擦除数据而不会备份数据。

我们在 Xbash 样本中观察到三种不同的比特币钱包地址硬编码。自2018年5月以来,这些钱包有48笔交易,总收入约为0.964比特币(撰写本文时约为6,000美元)。继续分析。

资金正在撤回,向我们表明袭击者正在积极收取他们的赎金。

专家们注意到在Xbash的所有版本中都存在一个名为LanScan的Python类,用于定位企业网络。该类允许获取本地Intranet信息,生成同一子网内所有IP地址的列表,并对所有这些IP执行端口扫描

该代码在恶意软件中仍然不活跃,可能骗子正在开发它。

专家们相信XBash将继续发展,例如包括Linux服务器的矿工组件。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: