新XBash惡意軟體融合勒索病毒、挖礦、殭屍網路和蠕蟲功能

近期，Palo Alto Network的研究人員發現了一款名叫XBash的新型惡意軟體，而這款惡意軟體不僅是一個勒索軟體，而且它還融合了挖礦、殭屍網路和蠕蟲等功能。

研究人員表示，XBash主要針對的是Linux和Windows伺服器。該惡意軟體採用Python開發，並且使用PyInstaller這樣的合法工具來將惡意軟體主體隱藏在了自包含的Linux ELF可執行文件中以便實現傳播。

XBash的惡意代碼借鑒了很多不同種類的惡意軟體，例如勒索軟體、加密貨幣挖礦軟體、殭屍網路以及蠕蟲病毒等等。

Palo AltoNetworks的研究人員在分析報告中寫到：「XBash融合了勒索軟體和其他的惡意攻擊能力，而且還具備自我傳播的功能，這也就意味著它擁有跟WannaCry或Petya/NotPetya類似的蠕蟲功能。啟用了『蠕蟲功能』（該功能目前還沒有啟用）之後，它將能夠迅速在受感染的目標組織網路中傳播。」

在對惡意代碼進行了深入分析之後，研究人員將XBash背後的網路犯罪組織鎖定在了IronGroup的身上。

Iron Group這個網路犯罪組織從2016年開始就一直活躍至今，當初該組織因為Iron勒索軟體而出名，近幾年該組織也開發了多種惡意軟體，其中包括後門、惡意挖礦軟體、以及多種針對移動端和桌面端系統的勒索軟體。

根據Intezer發布的分析報告，在2018年4月份，研究人員在監控公共數據Feed的時候，發現了一個使用了HackingTeam泄漏的RCS源代碼的未知後門。研究人員表示：「我們發現這個後門是由Iron Group開發的，而這個網路犯罪組織也是Iron勒索軟體的開發組織。目前為止，已經有數千名用戶遭到了Iron Group的攻擊。」

除此之外，XBash還可以自動搜索互聯網中存在安全漏洞的伺服器，惡意代碼會搜索沒有及時打補丁的Web應用程序，並使用一系列漏洞利用代碼或基於字典的爆破攻擊來搜索用戶憑證。當XBash搜索到了正在運行的Hadoop、Redis或ActiveMQ之後，它將嘗試對目標伺服器實施攻擊，並進行自我傳播。

XBash目前主要利用的三種漏洞如下：

1.HadoopYARN 資源管理器中未經認證的代碼執行漏洞

，該漏洞最早在2016年10月份就被曝光了，並且一直沒有分配CVE編號。

2.Redis任意文件寫入和遠程代碼執行漏洞

，該漏洞最早在2015年10月份就被曝光了，並且同樣沒有分配CVE編號。

3.ActiveMQ任意文件寫入漏洞

，CVE-2016-3088。

這款惡意軟體在成功入侵了存在漏洞的Redis伺服器後，將能夠感染同一網路內的其他Windows系統。

XBash的掃描組件可掃描的目標有Web伺服器（HTTP）, VNC, MariaDB, MySQL, PostgreSQL,Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP,UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh和Rsync。

從非法盈利方面來看，攻擊者主要通過在目標Windows系統中實現惡意挖礦以及針對運行了資料庫服務的Linux伺服器進行勒索攻擊來實現牟利。

XBash組件可以掃描和刪除MySQL、MongoDB和PostgreSQL資料庫，並向目標主機發送勒索消息，然後要求用戶支付0.02個比特幣來「贖回」他們的數據。