新型XBash恶意软件融合了勒索病毒、挖矿、僵尸网…
2018-10-24 08:45:08来源:红黑联盟 阅读 ()
近期,Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件,而这款恶意软件不仅是一个勒索软件,而且它还融合了挖矿、僵尸网络和蠕虫等功能。
研究人员表示,XBash主要针对的是Linux和Windows服务器。该恶意软件采用Python开发,并且使用PyInstaller这样的合法工具来将恶意软件主体隐藏在了自包含的Linux ELF可执行文件中以便实现传播。
XBash的恶意代码借鉴了很多不同种类的恶意软件,例如勒索软件、加密货币挖矿软件、僵尸网络以及蠕虫病毒等等。
Palo AltoNetworks的研究人员在分析报告中写到:“XBash融合了勒索软件和其他的恶意攻击能力,而且还具备自我传播的功能,这也就意味着它拥有跟WannaCry或Petya/NotPetya类似的蠕虫功能。启用了‘蠕虫功能’(该功能目前还没有启用)之后,它将能够迅速在受感染的目标组织网络中传播。”
在对恶意代码进行了深入分析之后,研究人员将XBash背后的网络犯罪组织锁定在了IronGroup的身上。
Iron Group这个网络犯罪组织从2016年开始就一直活跃至今,当初该组织因为Iron勒索软件而出名,近几年该组织也开发了多种恶意软件,其中包括后门、恶意挖矿软件、以及多种针对移动端和桌面端系统的勒索软件。
根据Intezer发布的分析报告,在2018年4月份,研究人员在监控公共数据Feed的时候,发现了一个使用了HackingTeam泄漏的RCS源代码的未知后门。研究人员表示:“我们发现这个后门是由Iron Group开发的,而这个网络犯罪组织也是Iron勒索软件的开发组织。目前为止,已经有数千名用户遭到了Iron Group的攻击。”
除此之外,XBash还可以自动搜索互联网中存在安全漏洞的服务器,恶意代码会搜索没有及时打补丁的Web应用程序,并使用一系列漏洞利用代码或基于字典的爆破攻击来搜索用户凭证。当XBash搜索到了正在运行的Hadoop、Redis或ActiveMQ之后,它将尝试对目标服务器实施攻击,并进行自我传播。
XBash目前主要利用的三种漏洞如下:
1.HadoopYARN 资源管理器中未经认证的代码执行漏洞,该漏洞最早在2016年10月份就被曝光了,并且一直没有分配CVE编号。
2.Redis任意文件写入和远程代码执行漏洞,该漏洞最早在2015年10月份就被曝光了,并且同样没有分配CVE编号。
3.ActiveMQ任意文件写入漏洞,CVE-2016-3088。
这款恶意软件在成功入侵了存在漏洞的Redis服务器后,将能够感染同一网络内的其他Windows系统。
XBash的扫描组件可扫描的目标有Web服务器(HTTP), VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。
从非法盈利方面来看,攻击者主要通过在目标Windows系统中实现恶意挖矿以及针对运行了数据库服务的Linux服务器进行勒索攻击来实现牟利。
XBash组件可以扫描和删除MySQL、MongoDB和PostgreSQL数据库,并向目标主机发送勒索消息,然后要求用户支付0.02个比特币来“赎回”他们的数据。
不幸的是,就算用户支付了赎金,他们也不可能再拿回自己的数据了,因为恶意软件在删除数据的时候根本就没备份…
研究人员表示,他们对XBash样本中的比特币钱包地址进行了分析,分析结果表明,从2018年5月份开始,相关的钱包总共有48笔转账交易,收入总共为0.964个比特币,当时的价值大约为6000美金。
研究人员还发现,XBash中还有一部分针对企业网络的代码,即一个名叫“LanScan”的Python类,这个类可以帮助恶意软件扫描本地局域网信息,并收集网络内其他主机的IP地址。不过这个类目前还没有激活使用,说明攻击者还在开发这个功能。
专家认为,XBash之后还会出现更多新的变种,因此广大用户还需保持警惕。关于XBash的更多信息,可以从研究人员发布的报告中获取【传送门】。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:DNS后门及其检测
下一篇:浅析区块链隐私保护技术之门罗币
- 如何快速找出Linux服务器上不该存在恶意或后门文件 2019-08-19
- 计算机感染了恶意软件几种常见症状 2019-08-19
- 新型勒索病毒感染范围扩大 解密需扫码支付110元 2019-01-01
- 新型僵尸网络出现:专门攻击智能电视 2018-12-03
- Android系统广播机制存在漏洞,恶意软件可绕过安全机制跟踪 2018-10-24
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash