新型XBash恶意软件融合了勒索病毒、挖矿、僵尸网络和蠕虫的功能

近期,Palo Alto Network的钻研职员发清楚明了一款名叫XBash的新型恶意软件,而这款恶意软件不仅是一个打单软件,而且它还交融了挖矿、僵尸收集和蠕虫等功能。

钻研职员表示,XBash主要针对的是Linux和Windows办事器。该恶意软件采纳Python开拓,并且应用PyInstaller这样的合法对象来将恶意软件主体暗藏在了自包孕的Linux ELF可履行文件中以便实现传播。

XBash的恶意代码借鉴了很多不合种类的恶意软件,例如打单软件、加密泉币挖矿软件、僵尸收集以及蠕虫病毒等等。

Palo AltoNetworks的钻研职员在阐发申报中写到:“XBash交融了打单软件和其他的恶意进击能力,而且还具备自我传播的功能,这也就意味着它拥有跟WannaCry或Petya/NotPetya类似的蠕虫功能。启用了‘蠕虫功能’(该功能今朝还没有启用)之后,它将能够迅速在受感染的目标组织收集中传播。”

在对恶意代码进行了深入阐发之后,钻研职员将XBash背后的收集犯罪组织锁定在了IronGroup的身上。

Iron Group这个收集犯罪组织从2016年开始就不停生动至今,当初该组织由于Iron打单软件而出名,近几年该组织也开拓了多种恶意软件,此中包括后门、恶意挖矿软件、以及多种针对移动端和桌面端系统的打单软件。

根据Intezer宣布的阐发申报,在2018年4月份,钻研职员在监控公共数据Feed的时刻,发清楚明了一个应用了HackingTeam透露的RCS源代码的未知后门。钻研职员表示:“我们发明这个后门是由Iron Group开拓的,而这个收集犯罪组织也是Iron打单软件的开拓组织。今朝为止,已经稀有千名用户遭到了Iron Group的进击。”

除此之外,XBash还可以自动搜索互联网中存在安然破绽的办事器,恶意代码会搜索没有及时打补丁的Web利用法度榜样,并应用一系列破绽使用代码或基于字典的爆破进击来搜索用户凭据。当XBash搜索到了正在运行的Hadoop、Redis或ActiveMQ之后,它将考试测验对目标办事器实施进击,并进行自我传播。

XBash今朝主要使用的三种破绽如下:

1.HadoopYARN 资本治理器中未经认证的代码履行破绽,该破绽最早在2016年10月份就被曝光了,并且不停没有分配CVE编号。

2.Redis随意率性文件写入和远程代码履行破绽,该破绽最早在2015年10月份就被曝光了,并且同样没有分配CVE编号。

3.ActiveMQ随意率性文件写入破绽,CVE-2016-3088。

这款恶意软件在成功入侵了存在破绽的Redis办事器后,将能够感染同一收集内的其他Windows系统。

XBash的扫描组件可扫描的目标有Web办事器(HTTP), VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。

从不法盈利方面来看,进击者主要经由过程在目标Windows系统中实现恶意挖矿以及针对运行了数据库办事的Linux办事器进行打单进击来实现取利。

XBash组件可以扫描和删除MySQL、MongoDB和PostgreSQL数据库,并向目标主机发送打单消息,然后要求用户支付0.02个比特币来“赎回”他们的数据。

不幸的是,就算用户支付了赎金,他们也弗成能再拿回自己的数据了,由于恶意软件在删除数据的时刻根本就没备份…

钻研职员表示,他们对XBash样本中的比特币钱包地址进行了阐发,阐发结果注解,从2018年5月份开始,相关的钱包统共有48笔转账买卖营业,收入统共为0.964个比特币,当时的代价大年夜约为6000美金。

钻研职员还发明,XBash中还有一部分针对企业收集的代码,即一个名叫“LanScan”的Python类,这个类可以赞助恶意软件扫描本地局域网信息,并网络收集内其他主机的IP地址。不过这个类今朝还没有激活应用,阐明进击者还在开拓这个功能。

专家觉得,XBash之后还会呈现更多新的变种,是以广大年夜用户还需维持鉴戒。关于XBash的更多信息,可以从钻研职员宣布的申报中获取【传送门】。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包