當前位置:首頁 > 芯聞號 > 充電吧
[導讀]來自Palo Alto Networks公司旗下Unit 42威脅研究團隊的安全研究員Claud Xiao、Cong Zheng和Xingyu Jin在本周一(9月17日)發(fā)布的一篇博文中指出,他們發(fā)


來自Palo Alto Networks公司旗下Unit 42威脅研究團隊的安全研究員Claud Xiao、Cong Zheng和Xingyu Jin在本周一(9月17日)發(fā)布的一篇博文中指出,他們發(fā)現(xiàn)了一個針對Linux和Windows服務(wù)器的新型惡意軟件家族,并將其命名為“Xbash”。

根據(jù)Unit 42研究人員的說法,Xbash是一個僵尸網(wǎng)絡(luò)和勒索軟件的結(jié)合體,具有自我傳播的功能,類似于WannaCry或Petya/NotPetya所展現(xiàn)的蠕蟲特性。另外,它還具有一些尚未啟用的功能,這些功能在啟用之后將允許Xbash能夠在目標網(wǎng)絡(luò)中快速傳播,而這一點同樣類似于WannaCry或Petya/NotPetya。

值得注意的是,與其說Xbash是一款勒索軟件,倒不如說它是一個數(shù)據(jù)擦除器。在這一點上,它與NotPetya非常類似。也就是說,它會對受害者數(shù)據(jù)造成永久性的破壞,即使是受害者支付贖金,這些數(shù)據(jù)也不可能得到恢復。

由Iron黑客組織開發(fā),利用已知漏洞感染服務(wù)器

Unit 42的研究人員表示,他們在經(jīng)過分析后發(fā)現(xiàn),Xbash是由長期以來一直保持活躍的黑客組織Iron(又名Rocke)在今年開發(fā)的。根據(jù)惡意代碼主模塊的名稱,他們將該惡意軟件家族命名為了“Xbash”。

在此之前,Iron組織曾開發(fā)并傳播了大量的加密貨幣礦工和加密貨幣交易劫持木馬,主要針對的是Windows,只有少數(shù)針對Linux。因此,Xbash可以說是該組織一個升級后的工具,目標是找出那些使用弱密碼或存在漏洞的服務(wù)器,清空受害者的MySQL、PostgreSQL和MongoDB數(shù)據(jù)庫,并要求受害者以比特幣支付贖金。

根據(jù)Unit 42研究人員的說法,Xbash主要利用了Hadoop(一個由Apache基金會所開發(fā)的分布式系統(tǒng)基礎(chǔ)架構(gòu))、Redis(一個開源的使用ANSIC語言編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫,并提供多種語言的API)和ActiveMQ(Apache出品的開源消息總線)中的三個已知漏洞來實現(xiàn)自我傳播或感染目標服務(wù)器。這包括:

Hadoop YARN ResourceManager無需身份驗證的命令執(zhí)行漏洞,于2016年10月首次被公開披露,未分配CVE編號。

Redis任意文件寫入和遠程命令執(zhí)行漏洞,于2015年10月首次被公開披露,未分配CVE編號。

ActiveMQ任意文件寫入漏洞,CVE-2016-3088。


采用Python編寫,目前已有四種不同版本被發(fā)現(xiàn)

到目前為止,Unit 42的研究人員表示他們已經(jīng)發(fā)現(xiàn)了四種不同版本的Xbash。從這些版本之間代碼和時間戳的差異可以看出,該勒索軟件家族仍在被積極地開發(fā)。

Xbash是采用Python編寫的,并且通過PyInstaller轉(zhuǎn)換成PE可執(zhí)行文件。根據(jù)Unit 42研究人員的說法,這種技術(shù)也曾被其他惡意軟件開發(fā)者所使用,它具有如下幾個優(yōu)點:

開發(fā)更快、更容易:使用Python開發(fā)惡意軟件比使用C、C ++或Go更快、更容易,從而使得惡意軟件能夠在短時間內(nèi)快速發(fā)展;

安裝簡單且可靠:通過PyInstaller創(chuàng)建的可執(zhí)行文件,其中包含了所有必需的依賴項,包括Python運行時、庫、用戶庫和第三方庫。鑒于Linux安裝和環(huán)境的多樣性,攻擊者往往無法確定基于Python的惡意軟件是否能夠成功安裝和運行。但通過PyInstaller轉(zhuǎn)換成PE可執(zhí)行文件之后,攻擊者就可以確保惡意軟件能夠成功地安裝在目標系統(tǒng)上。

反檢測功能:PyInstaller的代碼編譯、代碼壓縮/轉(zhuǎn)換以及加密功能,有助于惡意軟件繞過防病毒/反惡意軟件引擎或靜態(tài)分析的檢測。在Claud Xiao、Cong Zheng和Xingyu Jin編寫他們的博文時,Xbash在VirusTotal上的檢出率僅為1/57,如下圖所示。

跨平臺惡意軟件:PyInstaller可以將同一段Python代碼轉(zhuǎn)換成Windows、Apple macOS和Linux的二進制文件,這使惡意軟件真正能夠?qū)崿F(xiàn)跨平臺。


通過掃描TCP或UDP端口尋找目標,已收獲六千美元

根據(jù)Unit 42研究人員的說法,Xbash會基于域名和IP地址來進行掃描。如果掃描的是IP地址,那么它將嘗試掃描眾多TCP或UDP端口,以下是其中一部分:

HTTP: 80, 8080, 8888, 8000, 8001, 8088

VNC: 5900, 5901, 5902, 5903

MySQL: 3306

Memcached: 11211

MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433

FTP: 21

Telnet: 23, 2323

PostgreSQL: 5432

Redis: 6379, 2379

ElasticSearch: 9200

MongoDB: 27017

RDP: 3389

UPnP/SSDP: 1900

NTP: 123

DNS: 53

SNMP: 161

LDAP: 389

Rexec: 512

Rlogin: 513

Rsh: 514

Rsync: 873

Oracle database: 1521

CouchDB: 5984


對于某些服務(wù),如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin,如果相關(guān)端口是打開的,那么Xbash將使用內(nèi)置的弱用戶名/密碼字典來嘗試登錄這些服務(wù),如下圖所示。值得注意的是,字典還包含Telnet、FTP和Redis等服務(wù)的通用或默認密碼。

如果Xbash成功登錄到了包括MySQL、MongoDB和PostgreSQL在內(nèi)的服務(wù),它將清空服務(wù)器中幾乎所有現(xiàn)有數(shù)據(jù)庫(除了存儲用戶登錄信息的一些數(shù)據(jù)庫),然后創(chuàng)建一個名為“PLEASE_READ_ME_XYZ”的新數(shù)據(jù)庫,并插入一個名為“WARNING”的新表,用于顯示勒索信息,如下圖所示:

從勒索信息來看,攻擊者的贖金需求金額為0.02枚比特幣,并威脅受害者“如果我們沒有收到你的付款,我們將泄露你的數(shù)據(jù)庫”。自2018年5月以來,攻擊者的錢包有48筆交易,總收入約為0.964枚比特幣(約價值6000美元)。

總結(jié)和安全建議

Xbash是一種相對較新且較復雜的惡意軟件,也是一個活躍的網(wǎng)絡(luò)犯罪組織的最新作品。它目前能夠針對Linux和Windows系統(tǒng)實施攻擊,但鑒于PyInstaller的使用,我們并不排除未來會有針對其他系統(tǒng)的版本出現(xiàn)。

想要避免或減輕Xbash所帶來的危害,我們可以采取以下措施:

使用相對復雜的密碼,并經(jīng)常更新(切記不要使用默認密碼);

及時了解系統(tǒng)安全更新;

在操作系統(tǒng)上實施端點保護;

嚴格限制某些服務(wù)的聯(lián)網(wǎng)訪問權(quán)限;

對關(guān)鍵數(shù)據(jù)進行備份。




本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉