近日,PaloAltoNetwork的研究人员发觉了一款名叫XBash的新型恶意软件,而这款恶意软件除了是一个恐吓软件,并且它还融合了挖矿、僵尸网路和蠕虫等功能。
研究人员表示,XBash主要针对的是Linux和Windows服务器。该恶意软件采用Python开发,但是使用PyInstaller这样的合法工具来将恶意软件主体隐藏在了自包含的LinuxELF可执行文件中便于实现传播。
XBash的恶意代码借鉴了好多不同种类的恶意软件,比如恐吓软件、加密货币挖矿软件、僵尸网路以及蠕虫病毒等等。
PaloAltoNetworks的研究人员在剖析报告中讲到:“XBash融合了恐吓软件和其他的恶意功击能力,并且还具备自我传播的功能,这也就意味着它拥有跟WannaCry或Petya/NotPetya类似的蠕虫功能。启用了‘蠕虫功能’(该功能目前还没有启用)以后,它将能否迅速在受感染的目标组织网路中传播。”
在对恶意代码进行了深入剖析以后,研究人员将XBash背后的网路犯罪组织锁定在了IronGroup的脸上。
IronGroup这个网路犯罪组织从2016年开始就始终活跃至今,当年该组织由于Iron恐吓软件而出名,近几年该组织也开发了多种恶意软件,其中包括侧门、恶意挖矿软件、以及多种针对联通端和桌面端系统的恐吓软件。
按照Intezer发布的剖析报告,在2018年4月份,研究人员在监控公共数据Feed的时侯,发觉了一个使用了HackingTeam泄露的RCS源代码的未知侧门。研究人员表示:“我们发觉这个侧门是由IronGroup开发的,而这个网路犯罪组织也是Iron恐吓软件的开发组织。目前为止,早已有数千名用户受到了IronGroup的功击。”
除此之外,XBash还可以手动搜索互联网中存在安全漏洞的服务器,恶意代码会搜索没有及时打补丁的Web应用程序,并使用一系列漏洞借助代码或基于字典的爆破功击来搜索用户账簿。当XBash搜索到了正在运行的Hadoop、Redis或ActiveMQ以后,它将尝试对目标服务器施行功击,并进行自我传播。
XBash目前主要借助的三种漏洞如下:
这款恶意软件在成功入侵了存在漏洞的Redis服务器后,将才能感染同一网路内的其他Windows系统。
XBash的扫描组件可扫描的目标有Web服务器(HTTP),VNC,MariaDB,MySQL,PostgreSQL,Redis,MongoDB,OracleDB,CouchDB,ElasticSearch,Memcached,FTP,Telnet,RDP,UPnP/SSDP,NTP,DNS,SNMP,LDAP,Rexec,Rlogin,Rsh和Rsync。
从非法赢利方面来看,功击者主要通过在目标Windows系统中实现恶意挖矿以及针对运行了数据库服务的Linux服务器进行恐吓功击来实现敛财。
XBash组件可以扫描和删掉MySQL、MongoDB和PostgreSQL数据库linux 防恶意代码软件linux 防恶意代码软件linux操作系统界面,并向目标主机发送恐吓消息,之后要求用户支付0.02个比特币来“赎回”他们的数据。
不幸的是,即使用户支付了赎金,她们也不可能再取回自己的数据了,由于恶意软件在删掉数据的时侯根本就没备份…
研究人员表示,她们对XBash样本中的比特币皮夹地址进行了剖析,剖析结果表明,从2018年5月份开始,相关的皮夹总共有48笔转帐交易,收入总共为0.964个比特币,当时的价值大概为6000美元。
研究人员还发觉,XBash中还有一部份针对企业网路的代码,即一个名叫“LanScan”的Python类,这个类可以帮助恶意软件扫描本地局域网信息,并搜集网路内其他主机的IP地址。不过这个类目前还没有激活使用,说明功击者还在开发这个功能。
专家觉得,XBash以后就会出现更多新的变种,因而广大用户还需保持提防。
申明:本站所有文章,如无特殊说明或标明,均为本站原创发布。任何个人或组织,在未征得本站同意时,严禁复制、盗用、采集、发布本站内容到任何网站、书籍等各种媒体平台。倘若本站内容侵害了原著者的合法权益red hat linux 下载,可联系我们进行处理。
cc普通用户
