近期，Palo Alto Network的研究人員發(fā)現(xiàn)了一款名叫XBash的新型惡意軟件，而這款惡意軟件不僅是一個(gè)勒索軟件，而且它還融合了挖礦、僵尸網(wǎng)絡(luò)和蠕蟲等功能。

研究人員表示，XBash主要針對(duì)的是Linux和Windows服務(wù)器。該惡意軟件采用Python開發(fā)，并且使用PyInstaller這樣的合法工具來將惡意軟件主體隱藏在了自包含的Linux ELF可執(zhí)行文件中以便實(shí)現(xiàn)傳播。

XBash的惡意代碼借鑒了很多不同種類的惡意軟件，例如勒索軟件、加密貨幣挖礦軟件、僵尸網(wǎng)絡(luò)以及蠕蟲病毒等等。

Palo AltoNetworks的研究人員在分析報(bào)告中寫到：“XBash融合了勒索軟件和其他的惡意攻擊能力，而且還具備自我傳播的功能，這也就意味著它擁有跟WannaCry或Petya/NotPetya類似的蠕蟲功能。啟用了‘蠕蟲功能’（該功能目前還沒有啟用）之后，它將能夠迅速在受感染的目標(biāo)組織網(wǎng)絡(luò)中傳播?！?/p>

在對(duì)惡意代碼進(jìn)行了深入分析之后，研究人員將XBash背后的網(wǎng)絡(luò)犯罪組織鎖定在了IronGroup的身上。

Iron Group這個(gè)網(wǎng)絡(luò)犯罪組織從2016年開始就一直活躍至今，當(dāng)初該組織因?yàn)镮ron勒索軟件而出名，近幾年該組織也開發(fā)了多種惡意軟件，其中包括后門、惡意挖礦軟件、以及多種針對(duì)移動(dòng)端和桌面端系統(tǒng)的勒索軟件。

根據(jù)Intezer發(fā)布的分析報(bào)告，在2018年4月份，研究人員在監(jiān)控公共數(shù)據(jù)Feed的時(shí)候，發(fā)現(xiàn)了一個(gè)使用了HackingTeam泄漏的RCS源代碼的未知后門。研究人員表示：“我們發(fā)現(xiàn)這個(gè)后門是由Iron Group開發(fā)的，而這個(gè)網(wǎng)絡(luò)犯罪組織也是Iron勒索軟件的開發(fā)組織。目前為止，已經(jīng)有數(shù)千名用戶遭到了Iron Group的攻擊?！?/p>

除此之外，XBash還可以自動(dòng)搜索互聯(lián)網(wǎng)中存在安全漏洞的服務(wù)器，惡意代碼會(huì)搜索沒有及時(shí)打補(bǔ)丁的Web應(yīng)用程序，并使用一系列漏洞利用代碼或基于字典的爆破攻擊來搜索用戶憑證。當(dāng)XBash搜索到了正在運(yùn)行的Hadoop、Redis或ActiveMQ之后，它將嘗試對(duì)目標(biāo)服務(wù)器實(shí)施攻擊，并進(jìn)行自我傳播。

XBash目前主要利用的三種漏洞如下：

• 1.HadoopYARN 資源管理器中未經(jīng)認(rèn)證的代碼執(zhí)行漏洞，該漏洞最早在2016年10月份就被曝光了，并且一直沒有分配CVE編號(hào)。
• 2.Redis任意文件寫入和遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞最早在2015年10月份就被曝光了，并且同樣沒有分配CVE編號(hào)。
• 3.ActiveMQ任意文件寫入漏洞，CVE-2016-3088。

這款惡意軟件在成功入侵了存在漏洞的Redis服務(wù)器后，將能夠感染同一網(wǎng)絡(luò)內(nèi)的其他Windows系統(tǒng)。

XBash的掃描組件可掃描的目標(biāo)有Web服務(wù)器（HTTP）, VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。

從非法盈利方面來看，攻擊者主要通過在目標(biāo)Windows系統(tǒng)中實(shí)現(xiàn)惡意挖礦以及針對(duì)運(yùn)行了數(shù)據(jù)庫(kù)服務(wù)的Linux服務(wù)器進(jìn)行勒索攻擊來實(shí)現(xiàn)牟利。

XBash組件可以掃描和刪除MySQL、MongoDB和PostgreSQL數(shù)據(jù)庫(kù)，并向目標(biāo)主機(jī)發(fā)送勒索消息，然后要求用戶支付0.02個(gè)比特幣來“贖回”他們的數(shù)據(jù)。

不幸的是，就算用戶支付了贖金，他們也不可能再拿回自己的數(shù)據(jù)了，因?yàn)閻阂廛浖趧h除數(shù)據(jù)的時(shí)候根本就沒備份…

研究人員表示，他們對(duì)XBash樣本中的比特幣錢包地址進(jìn)行了分析，分析結(jié)果表明，從2018年5月份開始，相關(guān)的錢包總共有48筆轉(zhuǎn)賬交易，收入總共為0.964個(gè)比特幣，當(dāng)時(shí)的價(jià)值大約為6000美金。

研究人員還發(fā)現(xiàn)，XBash中還有一部分針對(duì)企業(yè)網(wǎng)絡(luò)的代碼，即一個(gè)名叫“LanScan”的Python類，這個(gè)類可以幫助惡意軟件掃描本地局域網(wǎng)信息，并收集網(wǎng)絡(luò)內(nèi)其他主機(jī)的IP地址。不過這個(gè)類目前還沒有激活使用，說明攻擊者還在開發(fā)這個(gè)功能。

專家認(rèn)為，XBash之后還會(huì)出現(xiàn)更多新的變種，因此廣大用戶還需保持警惕。

cc

收藏 海報(bào)分享