<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      新型XBash恶意软件融合了勒索病毒¡¢挖矿¡¢僵尸网络和蠕虫的功能

      2018-10-11 15:58| 投稿: xiaotiger |来自: 互联网


      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡

      摘要: 近期£¬Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件£¬而这款恶意软件不仅是一个勒索软件£¬而且它还融合了挖矿¡¢僵尸网络和蠕虫等功能¡£研究人员表示£¬XBash主要针对的是Linux和Windows服务器¡£该 ...

      近期£¬Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件£¬而这款恶意软件不仅是一个勒索软件£¬而且它还融合了挖矿¡¢僵尸网络和蠕虫等功能¡£

      研究人员表示£¬XBash主要针对的是Linux和Windows服务器¡£该恶意软件采用Python开发£¬并且使用PyInstaller这样的合法工具来将恶意软件主体隐藏在了自包含的Linux ELF可执行文件中?#21592;?#23454;现传播¡£

      XBash的恶意代码借鉴了很多不同种类的恶意软件£¬例如勒索软件¡¢加密货币挖矿软件¡¢僵尸网络以及蠕虫病毒等等¡£

      Palo AltoNetworks的研究人员在分析报告中写到£º¡°XBash融合了勒索软件和其他的恶意攻击能力£¬而?#19968;?#20855;备自我传播的功能£¬这也就意味着它拥有跟WannaCry或Petya/NotPetya类似的蠕虫功能¡£启用了¡®蠕虫功能¡¯£¨该功能目前还没有启用£©之后£¬它将能够迅速在受感染的目标组织网络中传播¡£¡±

      在对恶意代码进行了深入分析之后£¬研究人员将XBash背后的网络犯罪组织锁定在了IronGroup的身上¡£

      Iron Group这个网络犯罪组织从2016年开始就一直活跃至今£¬当初该组织因为Iron勒索软件而出名£¬近几年该组织也开发了多种恶意软件£¬其中包括后门¡¢恶意挖矿软件¡¢以及多种针对移动端和桌面端系统的勒索软件¡£

      根据Intezer发布的分析报告£¬在2018年4月份£¬研究人员在监控公共数据Feed的时候£¬发现了一个使用了HackingTeam泄漏的RCS?#21019;?#30721;的未知后门¡£研究人员表示£º¡°我们发现这个后门是由Iron Group开发的£¬而这个网络犯罪组织也是Iron勒索软件的开发组织¡£目前为止£¬已经有数千名用户遭到了Iron Group的攻击¡£¡±

      除此之外£¬XBash还可以自动搜索互联网中存在安全漏洞的服务器£¬恶意代码会搜索没有及时打补丁的Web应用程序£¬并使用一系?#26032;?#27934;利用代码或基于字典的爆破攻击来搜索用户凭证¡£当XBash搜索到了正在运行的Hadoop¡¢Redis或ActiveMQ之后£¬它将尝试对目标服务器实施攻击£¬并进行自我传播¡£

      XBash目前主要利用的三种漏洞如下£º

      1.HadoopYARN 资源管理器中未经?#29616;?#30340;代码执?#26032;?#27934;£¬该漏洞最早在2016年10月份就被曝光了£¬并且一直没有分配CVE编号¡£

      2.Redis任意文件写入和远程代码执?#26032;?#27934;£¬该漏洞最早在2015年10月份就被曝光了£¬并且同样没有分配CVE编号¡£

      3.ActiveMQ任意文件写入漏洞£¬CVE-2016-3088¡£

      这款恶意软件在成功入侵了存在漏洞的Redis服务器后£¬将能够感染同一网络内的其他Windows系统¡£

      XBash的扫描组件可扫描的目标有Web服务器£¨HTTP£©, VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync¡£

      从非法盈利方面来看£¬攻击者主要通过在目标Windows系统中实现恶意挖矿以及针对运行了数据库服务的Linux服务器进行勒索攻击来实现牟利¡£

      XBash组件可以扫描和删除MySQL¡¢MongoDB和PostgreSQL数据库£¬并向目标主机发送勒索消息£¬然后要求用户支付0.02个比特币来¡°赎回¡±他们的数据¡£

      不幸的是£¬就算用户支付了赎金£¬他?#19988;?#19981;可能再拿回自己的数据了£¬因为恶意软件在删除数据的时候根本就没备份¡­

      研究人员表示£¬他们对XBash样本中的比特币钱包地址进行了分析£¬分析结果表明£¬从2018年5月份开始£¬相关的钱包总共有48?#39318;?#36134;交易£¬收入总共为0.964个比特币£¬当时的价值大约为6000美金¡£

      研究人员还发现£¬XBash中还有一部分针对企业网络的代码£¬即一个名叫¡°LanScan¡±的Python类£¬这个类可以帮助恶意软件扫描本地局域网信息£¬并收集网络内其他主机的IP地址¡£不过这个类目前还没有激活使用£¬说明攻击者还在开发这个功能¡£

      专家认为£¬XBash之后还会出现更多新的变种£¬因此广大用户还需保持警惕¡£关于XBash的更多信息£¬可以从研究人员发布的报告中获取¡¾传送门¡¿¡£

      *参考来源£ºsecurityaffairs£¬FB小编Alpha_h4ck编译£¬转载请注明来自FreeBuf.COM


      Tag标签:

      小编推荐£º欲学习电脑技术¡¢系统维护¡¢网络管理¡¢编程开发和安全攻防等高端IT技术£¬请 点击这里 注册账号£¬公开课频道价值万元IT培训教程免费学£¬让您少走弯路¡¢事半功倍£¬好工作升职?#26377;„¦?/font>

      本文出自£ºhttps://mbd.baidu.com/newspage/data/landingsuper?context={

      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      Ðþ»úͼ
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>