來(lái)自Palo Alto Networks公司旗下Unit 42威脅研究團(tuán)隊(duì)的安全研究員Claud Xiao、Cong Zheng和Xingyu Jin在本周一（9月17日）發(fā)布的一篇博文中指出，他們發(fā)現(xiàn)了一個(gè)針對(duì)Linux和Windows服務(wù)器的新型惡意軟件家族，并將其命名為“Xbash”。

根據(jù)Unit 42研究人員的說(shuō)法，Xbash是一個(gè)僵尸網(wǎng)絡(luò)和勒索軟件的結(jié)合體，具有自我傳播的功能，類似于WannaCry或Petya/NotPetya所展現(xiàn)的蠕蟲特性。另外，它還具有一些尚未啟用的功能，這些功能在啟用之后將允許Xbash能夠在目標(biāo)網(wǎng)絡(luò)中快速傳播，而這一點(diǎn)同樣類似于WannaCry或Petya/NotPetya。

值得注意的是，與其說(shuō)Xbash是一款勒索軟件，倒不如說(shuō)它是一個(gè)數(shù)據(jù)擦除器。在這一點(diǎn)上，它與NotPetya非常類似。也就是說(shuō)，它會(huì)對(duì)受害者數(shù)據(jù)造成永久性的破壞，即使是受害者支付贖金，這些數(shù)據(jù)也不可能得到恢復(fù)。

由Iron黑客組織開發(fā)，利用已知漏洞感染服務(wù)器

Unit 42的研究人員表示，他們?cè)诮?jīng)過(guò)分析后發(fā)現(xiàn)，Xbash是由長(zhǎng)期以來(lái)一直保持活躍的黑客組織Iron（又名Rocke）在今年開發(fā)的。根據(jù)惡意代碼主模塊的名稱，他們將該惡意軟件家族命名為了“Xbash”。

在此之前，Iron組織曾開發(fā)并傳播了大量的加密貨幣礦工和加密貨幣交易劫持木馬，主要針對(duì)的是Windows，只有少數(shù)針對(duì)Linux。因此，Xbash可以說(shuō)是該組織一個(gè)升級(jí)后的工具，目標(biāo)是找出那些使用弱密碼或存在漏洞的服務(wù)器，清空受害者的MySQL、PostgreSQL和MongoDB數(shù)據(jù)庫(kù)，并要求受害者以比特幣支付贖金。

根據(jù)Unit 42研究人員的說(shuō)法，Xbash主要利用了Hadoop（一個(gè)由Apache基金會(huì)所開發(fā)的分布式系統(tǒng)基礎(chǔ)架構(gòu)）、Redis（一個(gè)開源的使用ANSIC語(yǔ)言編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫(kù)，并提供多種語(yǔ)言的API）和ActiveMQ（Apache出品的開源消息總線）中的三個(gè)已知漏洞來(lái)實(shí)現(xiàn)自我傳播或感染目標(biāo)服務(wù)器。這包括：

Hadoop YARN ResourceManager無(wú)需身份驗(yàn)證的命令執(zhí)行漏洞，于2016年10月首次被公開披露，未分配CVE編號(hào)。

Redis任意文件寫入和遠(yuǎn)程命令執(zhí)行漏洞，于2015年10月首次被公開披露，未分配CVE編號(hào)。

ActiveMQ任意文件寫入漏洞，CVE-2016-3088。

采用Python編寫，目前已有四種不同版本被發(fā)現(xiàn)

到目前為止，Unit 42的研究人員表示他們已經(jīng)發(fā)現(xiàn)了四種不同版本的Xbash。從這些版本之間代碼和時(shí)間戳的差異可以看出，該勒索軟件家族仍在被積極地開發(fā)。

Xbash是采用Python編寫的，并且通過(guò)PyInstaller轉(zhuǎn)換成PE可執(zhí)行文件。根據(jù)Unit 42研究人員的說(shuō)法，這種技術(shù)也曾被其他惡意軟件開發(fā)者所使用，它具有如下幾個(gè)優(yōu)點(diǎn)：

開發(fā)更快、更容易：使用Python開發(fā)惡意軟件比使用C、C ++或Go更快、更容易，從而使得惡意軟件能夠在短時(shí)間內(nèi)快速發(fā)展；

安裝簡(jiǎn)單且可靠：通過(guò)PyInstaller創(chuàng)建的可執(zhí)行文件，其中包含了所有必需的依賴項(xiàng)，包括Python運(yùn)行時(shí)、庫(kù)、用戶庫(kù)和第三方庫(kù)。鑒于Linux安裝和環(huán)境的多樣性，攻擊者往往無(wú)法確定基于Python的惡意軟件是否能夠成功安裝和運(yùn)行。但通過(guò)PyInstaller轉(zhuǎn)換成PE可執(zhí)行文件之后，攻擊者就可以確保惡意軟件能夠成功地安裝在目標(biāo)系統(tǒng)上。

反檢測(cè)功能：PyInstaller的代碼編譯、代碼壓縮/轉(zhuǎn)換以及加密功能，有助于惡意軟件繞過(guò)防病毒/反惡意軟件引擎或靜態(tài)分析的檢測(cè)。在Claud Xiao、Cong Zheng和Xingyu Jin編寫他們的博文時(shí)，Xbash在VirusTotal上的檢出率僅為1/57，如下圖所示。

跨平臺(tái)惡意軟件：PyInstaller可以將同一段Python代碼轉(zhuǎn)換成Windows、Apple macOS和Linux的二進(jìn)制文件，這使惡意軟件真正能夠?qū)崿F(xiàn)跨平臺(tái)。

通過(guò)掃描TCP或UDP端口尋找目標(biāo)，已收獲六千美元

根據(jù)Unit 42研究人員的說(shuō)法，Xbash會(huì)基于域名和IP地址來(lái)進(jìn)行掃描。如果掃描的是IP地址，那么它將嘗試掃描眾多TCP或UDP端口，以下是其中一部分：

HTTP: 80, 8080, 8888, 8000, 8001, 8088

VNC: 5900, 5901, 5902, 5903

MySQL: 3306

Memcached: 11211

MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433

FTP: 21

Telnet: 23, 2323

PostgreSQL: 5432

Redis: 6379, 2379

ElasticSearch: 9200

MongoDB: 27017

RDP: 3389

UPnP/SSDP: 1900

NTP: 123

DNS: 53

SNMP: 161

LDAP: 389

Rexec: 512

Rlogin: 513

Rsh: 514

Rsync: 873

Oracle database: 1521

CouchDB: 5984

對(duì)于某些服務(wù)，如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin，如果相關(guān)端口是打開的，那么Xbash將使用內(nèi)置的弱用戶名/密碼字典來(lái)嘗試登錄這些服務(wù)，如下圖所示。值得注意的是，字典還包含Telnet、FTP和Redis等服務(wù)的通用或默認(rèn)密碼。

如果Xbash成功登錄到了包括MySQL、MongoDB和PostgreSQL在內(nèi)的服務(wù)，它將清空服務(wù)器中幾乎所有現(xiàn)有數(shù)據(jù)庫(kù)（除了存儲(chǔ)用戶登錄信息的一些數(shù)據(jù)庫(kù)），然后創(chuàng)建一個(gè)名為“PLEASE_READ_ME_XYZ”的新數(shù)據(jù)庫(kù)，并插入一個(gè)名為“WARNING”的新表，用于顯示勒索信息，如下圖所示：

從勒索信息來(lái)看，攻擊者的贖金需求金額為0.02枚比特幣，并威脅受害者“如果我們沒(méi)有收到你的付款，我們將泄露你的數(shù)據(jù)庫(kù)”。自2018年5月以來(lái)，攻擊者的錢包有48筆交易，總收入約為0.964枚比特幣（約價(jià)值6000美元）。

總結(jié)和安全建議

Xbash是一種相對(duì)較新且較復(fù)雜的惡意軟件，也是一個(gè)活躍的網(wǎng)絡(luò)犯罪組織的最新作品。它目前能夠針對(duì)Linux和Windows系統(tǒng)實(shí)施攻擊，但鑒于PyInstaller的使用，我們并不排除未來(lái)會(huì)有針對(duì)其他系統(tǒng)的版本出現(xiàn)。

想要避免或減輕Xbash所帶來(lái)的危害，我們可以采取以下措施：

使用相對(duì)復(fù)雜的密碼，并經(jīng)常更新（切記不要使用默認(rèn)密碼）；

及時(shí)了解系統(tǒng)安全更新；

在操作系統(tǒng)上實(shí)施端點(diǎn)保護(hù)；

嚴(yán)格限制某些服務(wù)的聯(lián)網(wǎng)訪問(wèn)權(quán)限；

對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份。