來自Palo Alto Networks公司旗下Unit 42威脅研究團隊的安全研究員Claud Xiao、Cong Zheng和Xingyu Jin在本周一(9月17日)發布的一篇博文中指出,他們發現了一個針對Linux和Windows伺服器的新型惡意軟體家族,並將其命名為「Xbash」。
根據Unit 42研究人員的說法,Xbash是一個殭屍網路和勒索軟體的結合體,具有自我傳播的功能,類似於WannaCry或Petya/NotPetya所展現的蠕蟲特性。另外,它還具有一些尚未啟用的功能,這些功能在啟用之後將允許Xbash能夠在目標網路中快速傳播,而這一點同樣類似於WannaCry或Petya/NotPetya。
值得注意的是,與其說Xbash是一款勒索軟體,倒不如說它是一個數據擦除器。在這一點上,它與NotPetya非常類似。也就是說,它會對受害者數據造成永久性的破壞,即使是受害者支付贖金,這些數據也不可能得到恢復。
由Iron黑客組織開發,利用已知漏洞感染伺服器
Unit 42的研究人員表示,他們在經過分析後發現,Xbash是由長期以來一直保持活躍的黑客組織Iron(又名Rocke)在今年開發的。根據惡意代碼主模塊的名稱,他們將該惡意軟體家族命名為了「Xbash」。
在此之前,Iron組織曾開發並傳播了大量的加密貨幣礦工和加密貨幣交易劫持木馬,主要針對的是Windows,只有少數針對Linux。因此,Xbash可以說是該組織一個升級後的工具,目標是找出那些使用弱密碼或存在漏洞的伺服器,清空受害者的MySQL、PostgreSQL和MongoDB資料庫,並要求受害者以比特幣支付贖金。
根據Unit 42研究人員的說法,Xbash主要利用了Hadoop(一個由Apache基金會所開發的分散式系統基礎架構)、Redis(一個開源的使用ANSI C語言編寫、支持網路、可基於內存亦可持久化的日誌型、Key-Value資料庫,並提供多種語言的API)和ActiveMQ(Apache出品的開源消息匯流排)中的三個已知漏洞來實現自我傳播或感染目標伺服器。這包括:
- Hadoop YARN ResourceManager無需身份驗證的命令執行漏洞,於2016年10月首次被公開披露,未分配CVE編號。
- Redis任意文件寫入和遠程命令執行漏洞,於2015年10月首次被公開披露,未分配CVE編號。
- ActiveMQ任意文件寫入漏洞,CVE-2016-3088。
採用Python編寫,目前已有四種不同版本被發現
到目前為止,Unit 42的研究人員表示他們已經發現了四種不同版本的Xbash。從這些版本之間代碼和時間戳的差異可以看出,該勒索軟體家族仍在被積極地開發。
Xbash是採用Python編寫的,並且通過PyInstaller轉換成PE可執行文件。根據Unit 42研究人員的說法,這種技術也曾被其他惡意軟體開發者所使用,它具有如下幾個優點:
- 開發更快、更容易:使用Python開發惡意軟體比使用C、C ++或Go更快、更容易,從而使得惡意軟體能夠在短時間內快速發展;
- 安裝簡單且可靠:通過PyInstaller創建的可執行文件,其中包含了所有必需的依賴項,包括Python運行時、庫、用戶庫和第三方庫。鑒於Linux安裝和環境的多樣性,攻擊者往往無法確定基於Python的惡意軟體是否能夠成功安裝和運行。但通過PyInstaller轉換成PE可執行文件之後,攻擊者就可以確保惡意軟體能夠成功地安裝在目標系統上。
- 反檢測功能:PyInstaller的代碼編譯、代碼壓縮/轉換以及加密功能,有助於惡意軟體繞過防病毒/反惡意軟體引擎或靜態分析的檢測。在Claud Xiao、Cong Zheng和Xingyu Jin編寫他們的博文時,Xbash在VirusTotal上的檢出率僅為1/57,如下圖所示。
- 跨平台惡意軟體:PyInstaller可以將同一段Python代碼轉換成Windows、Apple macOS和Linux的二進位文件,這使惡意軟體真正能夠實現跨平台。
通過掃描TCP或UDP埠尋找目標,已收穫六千美元
根據Unit 42研究人員的說法,Xbash會基於域名和IP地址來進行掃描。如果掃描的是IP地址,那麼它將嘗試掃描眾多TCP或UDP埠,以下是其中一部分:
- HTTP: 80, 8080, 8888, 8000, 8001, 8088
- VNC: 5900, 5901, 5902, 5903
- MySQL: 3306
- Memcached: 11211
- MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433
- FTP: 21
- Telnet: 23, 2323
- PostgreSQL: 5432
- Redis: 6379, 2379
- ElasticSearch: 9200
- MongoDB: 27017
- RDP: 3389
- UPnP/SSDP: 1900
- NTP: 123
- DNS: 53
- SNMP: 161
- LDAP: 389
- Rexec: 512
- Rlogin: 513
- Rsh: 514
- Rsync: 873
- Oracle database: 1521
- CouchDB: 5984
對於某些服務,如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin,如果相關埠是打開的,那麼Xbash將使用內置的弱用戶名/密碼字典來嘗試登錄這些服務,如下圖所示。值得注意的是,字典還包含Telnet、FTP和Redis等服務的通用或默認密碼。
如果Xbash成功登錄到了包括MySQL、MongoDB和PostgreSQL在內的服務,它將清空伺服器中幾乎所有現有資料庫(除了存儲用戶登錄信息的一些資料庫),然後創建一個名為「PLEASE_READ_ME_XYZ」的新資料庫,並插入一個名為「WARNING」的新表,用於顯示勒索信息,如下圖所示:
從勒索信息來看,攻擊者的贖金需求金額為0.02枚比特幣,並威脅受害者「如果我們沒有收到你的付款,我們將泄露你的資料庫」。自2018年5月以來,攻擊者的錢包有48筆交易,總收入約為0.964枚比特幣(約價值6000美元)。
總結和安全建議
Xbash是一種相對較新且較複雜的惡意軟體,也是一個活躍的網路犯罪組織的最新作品。它目前能夠針對Linux和Windows系統實施攻擊,但鑒於PyInstaller的使用,我們並不排除未來會有針對其他系統的版本出現。
想要避免或減輕Xbash所帶來的危害,我們可以採取以下措施:
- 使用相對複雜的密碼,並經常更新(切記不要使用默認密碼);
- 及時了解系統安全更新;
- 在操作系統上實施端點保護;
- 嚴格限制某些服務的聯網訪問許可權;
- 對關鍵數據進行備份。
