近期，Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟件，而這款惡意軟件不僅是一個勒索軟件，而且它還融合了挖礦、僵尸網絡和蠕蟲等功能。

　　研究人員表示，XBash主要針對的是Linux和Windows服務器。該惡意軟件采用Python開發，并且使用PyInstaller這樣的合法工具來將惡意軟件主體隱藏在了自包含的Linux ELF可執行文件中以便實現傳播。

　　XBash的惡意代碼借鑒了很多不同種類的惡意軟件，例如勒索軟件、加密貨幣挖礦軟件、僵尸網絡以及蠕蟲病毒等等。

　　Palo AltoNetworks的研究人員在分析報告中寫到：“XBash融合了勒索軟件和其他的惡意攻擊能力，而且還具備自我傳播的功能，這也就意味著它擁有跟WannaCry或Petya/NotPetya類似的蠕蟲功能。啟用了‘蠕蟲功能’（該功能目前還沒有啟用）之后，它將能夠迅速在受感染的目標組織網絡中傳播?！?/p>

　　在對惡意代碼進行了深入分析之后，研究人員將XBash背后的網絡犯罪組織鎖定在了IronGroup的身上。

　　Iron Group這個網絡犯罪組織從2016年開始就一直活躍至今，當初該組織因為Iron勒索軟件而出名，近幾年該組織也開發了多種惡意軟件，其中包括后門、惡意挖礦軟件、以及多種針對移動端和桌面端系統的勒索軟件。

　　根據Intezer發布的分析報告，在2018年4月份，研究人員在監控公共數據Feed的時候，發現了一個使用了HackingTeam泄漏的RCS源代碼的未知后門。研究人員表示：“我們發現這個后門是由Iron Group開發的，而這個網絡犯罪組織也是Iron勒索軟件的開發組織。目前為止，已經有數千名用戶遭到了Iron Group的攻擊?！?/p>

　　除此之外，XBash還可以自動搜索互聯網中存在安全漏洞的服務器，惡意代碼會搜索沒有及時打補丁的Web應用程序，并使用一系列漏洞利用代碼或基于字典的爆破攻擊來搜索用戶憑證。當XBash搜索到了正在運行的Hadoop、Redis或ActiveMQ之后，它將嘗試對目標服務器實施攻擊，并進行自我傳播。

　　XBash目前主要利用的三種漏洞如下：

　　1.HadoopYARN 資源管理器中未經認證的代碼執行漏洞，該漏洞最早在2016年10月份就被曝光了，并且一直沒有分配CVE編號。

　　2.Redis任意文件寫入和遠程代碼執行漏洞，該漏洞最早在2015年10月份就被曝光了，并且同樣沒有分配CVE編號。

　　3.ActiveMQ任意文件寫入漏洞，CVE-2016-3088。

　　這款惡意軟件在成功入侵了存在漏洞的Redis服務器后，將能夠感染同一網絡內的其他Windows系統。

　　XBash的掃描組件可掃描的目標有Web服務器（HTTP）, VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。

　　從非法盈利方面來看，攻擊者主要通過在目標Windows系統中實現惡意挖礦以及針對運行了數據庫服務的Linux服務器進行勒索攻擊來實現牟利。

　　XBash組件可以掃描和刪除MySQL、MongoDB和PostgreSQL數據庫，并向目標主機發送勒索消息，然后要求用戶支付0.02個比特幣來“贖回”他們的數據。

　　不幸的是，就算用戶支付了贖金，他們也不可能再拿回自己的數據了，因為惡意軟件在刪除數據的時候根本就沒備份…

　　研究人員表示，他們對XBash樣本中的比特幣錢包地址進行了分析，分析結果表明，從2018年5月份開始，相關的錢包總共有48筆轉賬交易，收入總共為0.964個比特幣，當時的價值大約為6000美金。

　　研究人員還發現，XBash中還有一部分針對企業網絡的代碼，即一個名叫“LanScan”的Python類，這個類可以幫助惡意軟件掃描本地局域網信息，并收集網絡內其他主機的IP地址。不過這個類目前還沒有激活使用，說明攻擊者還在開發這個功能。

　　專家認為，XBash之后還會出現更多新的變種，因此廣大用戶還需保持警惕。

責任編輯：韓希宇