新型XBash恶意软件融合了勒索病毒、挖矿、僵尸网络和蠕虫的功能

	近期，Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件，而这款恶意软件不仅是 一个勒索软件，而且它还融合了挖矿、僵尸网络和蠕虫等功能。 研究人员表示，XBash主要针对的是Linux和Windows服务器。该恶意软件采用Python开发，并且使用PyInstaller 这样的合法工具来将恶意软件主体隐藏在了自包含的Linux ELF可执行文件中以便实现传播。 XBash的恶意代码借鉴了很多不同种类的恶意软件，例如勒索软件、加密货币挖矿软件、僵尸网络以及蠕虫病毒等等。 Palo AltoNetworks的研究人员在分析报告中写到：“XBash融合了勒索软件和其他的恶意攻击能力，而且还 具备自我传播的功能，这也就意味着它拥有跟WannaCry或Petya/NotPetya类似的蠕虫功能。启用了‘蠕虫 功能’（该功能目前还没有启用）之后，它将能够迅速在受感染的目标组织网络中传播。” 在对恶意代码进行了深入分析之后，研究人员将XBash背后的网络犯罪组织锁定在了IronGroup的身上。 Iron Group这个网络犯罪组织从2016年开始就一直活跃至今，当初该组织因为Iron勒索软件而出名，近几年该组织 也开发了多种恶意软件，其中包括后门、恶意挖矿软件、以及多种针对移动端和桌面端系统的勒索软件。 根据Intezer发布的分析报告，在2018年4月份，研究人员在监控公共数据Feed的时候，发现了一个使用 了HackingTeam泄漏的RCS源代码的未知后门。研究人员表示：“我们发现这个后门是由Iron Group开 发的，而这个网络犯罪组织也是Iron勒索软件的开发组织。目前为止，已经有数千名用户遭到了Iron Gr oup的攻击。” 除此之外，XBash还可以自动搜索互联网中存在安全漏洞的服务器，恶意代码会搜索没有及时打补丁的Web 应用程序，并使用一系列漏洞利用代码或基于字典的爆破攻击来搜索用户凭证。当XBash搜索到了正在运行 的Hadoop、Redis或ActiveMQ之后，它将尝试对目标服务器实施攻击，并进行自我传播。 XBash目前主要利用的三种漏洞如下： 1.HadoopYARN 资源管理器中未经认证的代码执行漏洞，该漏洞最早在2016年10月份 就被曝光了，并且一直没有分配CVE编号。 2.Redis任意文件写入和远程代码执行漏洞，该漏洞最早在2015年10月份就被曝光了，并且同样没有分配CVE编号。 3.ActiveMQ任意文件写入漏洞，CVE-2016-3088。 这款恶意软件在成功入侵了存在漏洞的Redis服务器后，将能够感染同一网络内的其他Windows系统。 XBash的扫描组件可扫描的目标有Web服务器（HTTP）, VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。 从非法盈利方面来看，攻击者主要通过在目标Windows系统中实现恶意挖矿以及针对运 行了数据库服务的Linux服务器进行勒索攻击来实现牟利。 XBash组件可以扫描和删除MySQL、MongoDB和PostgreSQL数据库，并向目标主机发 送勒索消息，然后要求用户支付0.02个比特币来“赎回”他们的数据。 不幸的是，就算用户支付了赎金，他们也不可能再拿回自己的数据了，因为恶意 软件在删除数据的时候根本就没备份… 研究人员表示，他们对XBash样本中的比特币钱包地址进行了分析，分析结果表明，从2018 年5月份开始，相关的钱包总共有48笔转账交易，收入总共为0.964个比特币，当时的价值大 约为6000美金。 研究人员还发现，XBash中还有一部分针对企业网络的代码，即一个名叫“LanScan”的Python类， 这个类可以帮助恶意软件扫描本地局域网信息，并收集网络内其他主机的IP地址。不过这个类目前还 没有激活使用，说明攻击者还在开发这个功能。 专家认为，XBash之后还会出现更多新的变种，因此广大用户还需保持警惕。