<small id="hjex1"></small>

        <tbody id="hjex1"></tbody>
      1. <menuitem id="hjex1"></menuitem>
        <menuitem id="hjex1"></menuitem>

          安基網 首頁 資訊 安全報 查看內容

          新型XBash惡意軟件融合了勒索病毒、挖礦、僵尸網絡和蠕蟲的功能

          2018-10-11 15:58| 投稿: xiaotiger |來自: 互聯網


          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

          摘要: 近期,Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟件,而這款惡意軟件不僅是一個勒索軟件,而且它還融合了挖礦、僵尸網絡和蠕蟲等功能。研究人員表示,XBash主要針對的是Linux和Windows服務器。該 ...

          近期,Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟件,而這款惡意軟件不僅是一個勒索軟件,而且它還融合了挖礦、僵尸網絡和蠕蟲等功能。

          研究人員表示,XBash主要針對的是Linux和Windows服務器。該惡意軟件采用Python開發,并且使用PyInstaller這樣的合法工具來將惡意軟件主體隱藏在了自包含的Linux ELF可執行文件中以便實現傳播。

          XBash的惡意代碼借鑒了很多不同種類的惡意軟件,例如勒索軟件、加密貨幣挖礦軟件、僵尸網絡以及蠕蟲病毒等等。

          Palo AltoNetworks的研究人員在分析報告中寫到:“XBash融合了勒索軟件和其他的惡意攻擊能力,而且還具備自我傳播的功能,這也就意味著它擁有跟WannaCry或Petya/NotPetya類似的蠕蟲功能。啟用了‘蠕蟲功能’(該功能目前還沒有啟用)之后,它將能夠迅速在受感染的目標組織網絡中傳播。”

          在對惡意代碼進行了深入分析之后,研究人員將XBash背后的網絡犯罪組織鎖定在了IronGroup的身上。

          Iron Group這個網絡犯罪組織從2016年開始就一直活躍至今,當初該組織因為Iron勒索軟件而出名,近幾年該組織也開發了多種惡意軟件,其中包括后門、惡意挖礦軟件、以及多種針對移動端和桌面端系統的勒索軟件。

          根據Intezer發布的分析報告,在2018年4月份,研究人員在監控公共數據Feed的時候,發現了一個使用了HackingTeam泄漏的RCS源代碼的未知后門。研究人員表示:“我們發現這個后門是由Iron Group開發的,而這個網絡犯罪組織也是Iron勒索軟件的開發組織。目前為止,已經有數千名用戶遭到了Iron Group的攻擊。”

          除此之外,XBash還可以自動搜索互聯網中存在安全漏洞的服務器,惡意代碼會搜索沒有及時打補丁的Web應用程序,并使用一系列漏洞利用代碼或基于字典的爆破攻擊來搜索用戶憑證。當XBash搜索到了正在運行的Hadoop、Redis或ActiveMQ之后,它將嘗試對目標服務器實施攻擊,并進行自我傳播。

          XBash目前主要利用的三種漏洞如下:

          1.HadoopYARN 資源管理器中未經認證的代碼執行漏洞,該漏洞最早在2016年10月份就被曝光了,并且一直沒有分配CVE編號。

          2.Redis任意文件寫入和遠程代碼執行漏洞,該漏洞最早在2015年10月份就被曝光了,并且同樣沒有分配CVE編號。

          3.ActiveMQ任意文件寫入漏洞,CVE-2016-3088。

          這款惡意軟件在成功入侵了存在漏洞的Redis服務器后,將能夠感染同一網絡內的其他Windows系統。

          XBash的掃描組件可掃描的目標有Web服務器(HTTP), VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。

          從非法盈利方面來看,攻擊者主要通過在目標Windows系統中實現惡意挖礦以及針對運行了數據庫服務的Linux服務器進行勒索攻擊來實現牟利。

          XBash組件可以掃描和刪除MySQL、MongoDB和PostgreSQL數據庫,并向目標主機發送勒索消息,然后要求用戶支付0.02個比特幣來“贖回”他們的數據。

          不幸的是,就算用戶支付了贖金,他們也不可能再拿回自己的數據了,因為惡意軟件在刪除數據的時候根本就沒備份…

          研究人員表示,他們對XBash樣本中的比特幣錢包地址進行了分析,分析結果表明,從2018年5月份開始,相關的錢包總共有48筆轉賬交易,收入總共為0.964個比特幣,當時的價值大約為6000美金。

          研究人員還發現,XBash中還有一部分針對企業網絡的代碼,即一個名叫“LanScan”的Python類,這個類可以幫助惡意軟件掃描本地局域網信息,并收集網絡內其他主機的IP地址。不過這個類目前還沒有激活使用,說明攻擊者還在開發這個功能。

          專家認為,XBash之后還會出現更多新的變種,因此廣大用戶還需保持警惕。關于XBash的更多信息,可以從研究人員發布的報告中獲取【傳送門】。

          *參考來源:securityaffairs,FB小編Alpha_h4ck編譯,轉載請注明來自FreeBuf.COM


          Tag標簽:

          小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

          本文出自:https://mbd.baidu.com/newspage/data/landingsuper?context={

          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


          鮮花

          握手

          雷人

          路過

          雞蛋

          相關閱讀

          最新評論

           最新
          返回頂部
          北京赛车高手经验分享 足彩进球彩12117 宁夏11选5电子版 甘肃快三开奖结果今天 彩票合买骗局 黑龙江快乐十分开奖结果彩票控 彩票走势图电视 湖南快乐十分玩法技巧 排列五重号走势图 搜狐彩票彩吧论坛 福彩30选5开奖公告 香港白小姐透码 好彩头彩票正规吗 欢乐升级找朋友一副牌规则 竟彩篮球推荐 幸运赛车怎么玩法