想打造你自己的 VPN ?這6個開源工具看一下
來自Palo Alto Networks公司旗下Unit 42威脅研究團隊的安全研究員Claud Xiao、Cong Zheng和Xingyu Jin在本周一(9月17日)發(fā)布的一篇博文中指出,他們發(fā)現(xiàn)了一個針對Linux和Windows服務(wù)器的新型惡意軟件家族,并將其命名為“Xbash”。
根據(jù)Unit 42研究人員的說法,Xbash是一個僵尸網(wǎng)絡(luò)和勒索軟件的結(jié)合體,具有自我傳播的功能,類似于WannaCry或Petya/NotPetya所展現(xiàn)的蠕蟲特性。另外,它還具有一些尚未啟用的功能,這些功能在啟用之后將允許Xbash能夠在目標網(wǎng)絡(luò)中快速傳播,而這一點同樣類似于WannaCry或Petya/NotPetya。
值得注意的是,與其說Xbash是一款勒索軟件,倒不如說它是一個數(shù)據(jù)擦除器。在這一點上,它與NotPetya非常類似。也就是說,它會對受害者數(shù)據(jù)造成永久性的破壞,即使是受害者支付贖金,這些數(shù)據(jù)也不可能得到恢復。
由Iron黑客組織開發(fā),利用已知漏洞感染服務(wù)器
Unit 42的研究人員表示,他們在經(jīng)過分析后發(fā)現(xiàn),Xbash是由長期以來一直保持活躍的黑客組織Iron(又名Rocke)在今年開發(fā)的。根據(jù)惡意代碼主模塊的名稱,他們將該惡意軟件家族命名為了“Xbash”。
在此之前,Iron組織曾開發(fā)并傳播了大量的加密貨幣礦工和加密貨幣交易劫持木馬,主要針對的是Windows,只有少數(shù)針對Linux。因此,Xbash可以說是該組織一個升級后的工具,目標是找出那些使用弱密碼或存在漏洞的服務(wù)器,清空受害者的MySQL、PostgreSQL和MongoDB數(shù)據(jù)庫,并要求受害者以比特幣支付贖金。
根據(jù)Unit 42研究人員的說法,Xbash主要利用了Hadoop(一個由Apache基金會所開發(fā)的分布式系統(tǒng)基礎(chǔ)架構(gòu))、Redis(一個開源的使用ANSIC語言編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫,并提供多種語言的API)和ActiveMQ(Apache出品的開源消息總線)中的三個已知漏洞來實現(xiàn)自我傳播或感染目標服務(wù)器。這包括:
Hadoop YARN ResourceManager無需身份驗證的命令執(zhí)行漏洞,于2016年10月首次被公開披露,未分配CVE編號。
Redis任意文件寫入和遠程命令執(zhí)行漏洞,于2015年10月首次被公開披露,未分配CVE編號。
ActiveMQ任意文件寫入漏洞,CVE-2016-3088。
采用Python編寫,目前已有四種不同版本被發(fā)現(xiàn)
到目前為止,Unit 42的研究人員表示他們已經(jīng)發(fā)現(xiàn)了四種不同版本的Xbash。從這些版本之間代碼和時間戳的差異可以看出,該勒索軟件家族仍在被積極地開發(fā)。
Xbash是采用Python編寫的,并且通過PyInstaller轉(zhuǎn)換成PE可執(zhí)行文件。根據(jù)Unit 42研究人員的說法,這種技術(shù)也曾被其他惡意軟件開發(fā)者所使用,它具有如下幾個優(yōu)點:
開發(fā)更快、更容易:使用Python開發(fā)惡意軟件比使用C、C ++或Go更快、更容易,從而使得惡意軟件能夠在短時間內(nèi)快速發(fā)展;
安裝簡單且可靠:通過PyInstaller創(chuàng)建的可執(zhí)行文件,其中包含了所有必需的依賴項,包括Python運行時、庫、用戶庫和第三方庫。鑒于Linux安裝和環(huán)境的多樣性,攻擊者往往無法確定基于Python的惡意軟件是否能夠成功安裝和運行。但通過PyInstaller轉(zhuǎn)換成PE可執(zhí)行文件之后,攻擊者就可以確保惡意軟件能夠成功地安裝在目標系統(tǒng)上。
反檢測功能:PyInstaller的代碼編譯、代碼壓縮/轉(zhuǎn)換以及加密功能,有助于惡意軟件繞過防病毒/反惡意軟件引擎或靜態(tài)分析的檢測。在Claud Xiao、Cong Zheng和Xingyu Jin編寫他們的博文時,Xbash在VirusTotal上的檢出率僅為1/57,如下圖所示。
跨平臺惡意軟件:PyInstaller可以將同一段Python代碼轉(zhuǎn)換成Windows、Apple macOS和Linux的二進制文件,這使惡意軟件真正能夠?qū)崿F(xiàn)跨平臺。
通過掃描TCP或UDP端口尋找目標,已收獲六千美元
根據(jù)Unit 42研究人員的說法,Xbash會基于域名和IP地址來進行掃描。如果掃描的是IP地址,那么它將嘗試掃描眾多TCP或UDP端口,以下是其中一部分:
HTTP: 80, 8080, 8888, 8000, 8001, 8088
VNC: 5900, 5901, 5902, 5903
MySQL: 3306
Memcached: 11211
MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433
FTP: 21
Telnet: 23, 2323
PostgreSQL: 5432
Redis: 6379, 2379
ElasticSearch: 9200
MongoDB: 27017
RDP: 3389
UPnP/SSDP: 1900
NTP: 123
DNS: 53
SNMP: 161
LDAP: 389
Rexec: 512
Rlogin: 513
Rsh: 514
Rsync: 873
Oracle database: 1521
CouchDB: 5984
對于某些服務(wù),如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin,如果相關(guān)端口是打開的,那么Xbash將使用內(nèi)置的弱用戶名/密碼字典來嘗試登錄這些服務(wù),如下圖所示。值得注意的是,字典還包含Telnet、FTP和Redis等服務(wù)的通用或默認密碼。
如果Xbash成功登錄到了包括MySQL、MongoDB和PostgreSQL在內(nèi)的服務(wù),它將清空服務(wù)器中幾乎所有現(xiàn)有數(shù)據(jù)庫(除了存儲用戶登錄信息的一些數(shù)據(jù)庫),然后創(chuàng)建一個名為“PLEASE_READ_ME_XYZ”的新數(shù)據(jù)庫,并插入一個名為“WARNING”的新表,用于顯示勒索信息,如下圖所示:
從勒索信息來看,攻擊者的贖金需求金額為0.02枚比特幣,并威脅受害者“如果我們沒有收到你的付款,我們將泄露你的數(shù)據(jù)庫”。自2018年5月以來,攻擊者的錢包有48筆交易,總收入約為0.964枚比特幣(約價值6000美元)。
總結(jié)和安全建議
Xbash是一種相對較新且較復雜的惡意軟件,也是一個活躍的網(wǎng)絡(luò)犯罪組織的最新作品。它目前能夠針對Linux和Windows系統(tǒng)實施攻擊,但鑒于PyInstaller的使用,我們并不排除未來會有針對其他系統(tǒng)的版本出現(xiàn)。
想要避免或減輕Xbash所帶來的危害,我們可以采取以下措施:
使用相對復雜的密碼,并經(jīng)常更新(切記不要使用默認密碼);
及時了解系統(tǒng)安全更新;
在操作系統(tǒng)上實施端點保護;
嚴格限制某些服務(wù)的聯(lián)網(wǎng)訪問權(quán)限;
對關(guān)鍵數(shù)據(jù)進行備份。