<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基網 首頁 資訊 安全報 查看內容

      新型XBash惡意軟件融合了勒索病毒、挖礦、僵尸網絡和蠕蟲的功能

      2018-10-11 15:58| 投稿: xiaotiger |來自: 互聯網


      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

      摘要: 近期,Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟件,而這款惡意軟件不僅是一個勒索軟件,而且它還融合了挖礦、僵尸網絡和蠕蟲等功能。研究人員表示,XBash主要針對的是Linux和Windows服務器。該 ...

      近期,Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟件,而這款惡意軟件不僅是一個勒索軟件,而且它還融合了挖礦、僵尸網絡和蠕蟲等功能。

      研究人員表示,XBash主要針對的是Linux和Windows服務器。該惡意軟件采用Python開發,并且使用PyInstaller這樣的合法工具來將惡意軟件主體隱藏在了自包含的Linux ELF可執行文件中以便實現傳播。

      XBash的惡意代碼借鑒了很多不同種類的惡意軟件,例如勒索軟件、加密貨幣挖礦軟件、僵尸網絡以及蠕蟲病毒等等。

      Palo AltoNetworks的研究人員在分析報告中寫到:“XBash融合了勒索軟件和其他的惡意攻擊能力,而且還具備自我傳播的功能,這也就意味著它擁有跟WannaCry或Petya/NotPetya類似的蠕蟲功能。啟用了‘蠕蟲功能’(該功能目前還沒有啟用)之后,它將能夠迅速在受感染的目標組織網絡中傳播。”

      在對惡意代碼進行了深入分析之后,研究人員將XBash背后的網絡犯罪組織鎖定在了IronGroup的身上。

      Iron Group這個網絡犯罪組織從2016年開始就一直活躍至今,當初該組織因為Iron勒索軟件而出名,近幾年該組織也開發了多種惡意軟件,其中包括后門、惡意挖礦軟件、以及多種針對移動端和桌面端系統的勒索軟件。

      根據Intezer發布的分析報告,在2018年4月份,研究人員在監控公共數據Feed的時候,發現了一個使用了HackingTeam泄漏的RCS源代碼的未知后門。研究人員表示:“我們發現這個后門是由Iron Group開發的,而這個網絡犯罪組織也是Iron勒索軟件的開發組織。目前為止,已經有數千名用戶遭到了Iron Group的攻擊。”

      除此之外,XBash還可以自動搜索互聯網中存在安全漏洞的服務器,惡意代碼會搜索沒有及時打補丁的Web應用程序,并使用一系列漏洞利用代碼或基于字典的爆破攻擊來搜索用戶憑證。當XBash搜索到了正在運行的Hadoop、Redis或ActiveMQ之后,它將嘗試對目標服務器實施攻擊,并進行自我傳播。

      XBash目前主要利用的三種漏洞如下:

      1.HadoopYARN 資源管理器中未經認證的代碼執行漏洞,該漏洞最早在2016年10月份就被曝光了,并且一直沒有分配CVE編號。

      2.Redis任意文件寫入和遠程代碼執行漏洞,該漏洞最早在2015年10月份就被曝光了,并且同樣沒有分配CVE編號。

      3.ActiveMQ任意文件寫入漏洞,CVE-2016-3088。

      這款惡意軟件在成功入侵了存在漏洞的Redis服務器后,將能夠感染同一網絡內的其他Windows系統。

      XBash的掃描組件可掃描的目標有Web服務器(HTTP), VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。

      從非法盈利方面來看,攻擊者主要通過在目標Windows系統中實現惡意挖礦以及針對運行了數據庫服務的Linux服務器進行勒索攻擊來實現牟利。

      XBash組件可以掃描和刪除MySQL、MongoDB和PostgreSQL數據庫,并向目標主機發送勒索消息,然后要求用戶支付0.02個比特幣來“贖回”他們的數據。

      不幸的是,就算用戶支付了贖金,他們也不可能再拿回自己的數據了,因為惡意軟件在刪除數據的時候根本就沒備份…

      研究人員表示,他們對XBash樣本中的比特幣錢包地址進行了分析,分析結果表明,從2018年5月份開始,相關的錢包總共有48筆轉賬交易,收入總共為0.964個比特幣,當時的價值大約為6000美金。

      研究人員還發現,XBash中還有一部分針對企業網絡的代碼,即一個名叫“LanScan”的Python類,這個類可以幫助惡意軟件掃描本地局域網信息,并收集網絡內其他主機的IP地址。不過這個類目前還沒有激活使用,說明攻擊者還在開發這個功能。

      專家認為,XBash之后還會出現更多新的變種,因此廣大用戶還需保持警惕。關于XBash的更多信息,可以從研究人員發布的報告中獲取【傳送門】。

      *參考來源:securityaffairs,FB小編Alpha_h4ck編譯,轉載請注明來自FreeBuf.COM


      Tag標簽:

      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

      本文出自:https://mbd.baidu.com/newspage/data/landingsuper?context={

      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


      鮮花

      握手

      雷人

      路過

      雞蛋

      相關閱讀

      最新評論

       最新
      返回頂部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>