该病毒正在寻找Windows和Linux服务器:一个具有自我扩展功能的僵尸网络,结合了加密和勒索软件功能。
新病毒的名字是Xbash,它寻找受弱密码保护的系统和使用未修补的已知漏洞运行的计算机。
Palo Alto Networks的第42单元的安全研究人员分析了Xbash并注意到它的勒索软件和僵尸网络天赋是为Linux系统保留的,有明确的删除数据库的指令; 虽然恶意软件在Windows机器上的活动仅限于加密货币挖掘和自我传播例程,这些例程利用Hadoop,Redis和ActiveMQ服务中的已知安全漏洞。
研究人员表示,Xbash的勒索软件只能用于展示,因为恶意软件在其运营商收到赎金后无法恢复数据库。
恶意软件发现不受保护的服务并删除MySQL,PostgreSQL和MongoDB数据库。
一些受害者已经因为勒索软件骗局而支付了这笔钱。与发布者相关的资金来源在发布时的收入为0.964 BTC,来自48个交易,这些交易表明来自同样多的受害者的付款。
恶意软件的其他功能指向NotPetya作为灵感来源,例如在组织网络内快速传播到易受攻击的服务器的能力。但是,扫描功能还没有实现。
Xbash可以在TCP和UDP端口上扫描目标IP上的多个服务。该列表包括HTTP,VNC,MySQL,Memcached,FTP,Telnet,ElasticSearch,RDP,UPnP,NTP,DNS,SNMP,Rlogin,LDAP,CouchDB和Oracle数据库。
对于其中一些,当它找到一个开放端口时,它会使用内置字典中的弱用户名和密码组合进行暴力攻击。
登录后,恶意软件会删除服务器上不包含用户登录信息的数据库,并创建一个保存赎金票据的新数据库。
Xbash运营商要求将0.02BTC(约125美元)发送到他们的钱包,并承诺恢复数据。
Xbash是用Python开发的,然后使用PyInstaller转换为Portable Executable(PE)格式。这种策略具有多种优势,有助于逃避检测,确保在各种Linux实例上的安装和执行,以及为Windows,Linux和macOS创建二进制文件的可能性。
尽管研究人员仅针对Linux发现了样本,但恶意软件能够确定运行易受攻击服务的操作系统,并提供适当的负载。
在Windows上,它将发送一个JavaScript或VBScript下载程序来获取并执行coinminer。在Linux上,它运行勒索软件例程。
Xbash代表了恶意软件发展的一个新阶段,它融合了旨在确保其成功的功能和策略组合。这是一个活跃的威胁,Unit42称为Iron Group,以其他勒索软件攻击而闻名。
领取专属 10元无门槛券
私享最新 技术干货