來自Palo Alto Networks公司旗下Unit 42威脅研究團隊的安全研究員Claud Xiao、Cong Zheng和Xingyu Jin在本周一（9月17日）發(fā)布的一篇博文中指出，他們發(fā)現(xiàn)了一個針對Linux和Windows服務器的新型惡意軟件家族，并將其命名為“Xbash”。

根據(jù)Unit 42研究人員的說法，Xbash是一個僵尸網(wǎng)絡和勒索軟件的結合體，具有自我傳播的功能，類似于WannaCry或Petya/NotPetya所展現(xiàn)的蠕蟲特性。另外，它還具有一些尚未啟用的功能，這些功能在啟用之后將允許Xbash能夠在目標網(wǎng)絡中快速傳播，而這一點同樣類似于WannaCry或Petya/NotPetya。

值得注意的是，與其說Xbash是一款勒索軟件，倒不如說它是一個數(shù)據(jù)擦除器。在這一點上，它與NotPetya非常類似。也就是說，它會對受害者數(shù)據(jù)造成永久性的破壞，即使是受害者支付贖金，這些數(shù)據(jù)也不可能得到恢復。

由Iron黑客組織開發(fā)，利用已知漏洞感染服務器

Unit 42的研究人員表示，他們在經(jīng)過分析后發(fā)現(xiàn)，Xbash是由長期以來一直保持活躍的黑客組織Iron（又名Rocke）在今年開發(fā)的。根據(jù)惡意代碼主模塊的名稱，他們將該惡意軟件家族命名為了“Xbash”。

在此之前，Iron組織曾開發(fā)并傳播了大量的加密貨幣礦工和加密貨幣交易劫持木馬，主要針對的是Windows，只有少數(shù)針對Linux。因此，Xbash可以說是該組織一個升級后的工具，目標是找出那些使用弱密碼或存在漏洞的服務器，清空受害者的MySQL、PostgreSQL和MongoDB數(shù)據(jù)庫，并要求受害者以比特幣支付贖金。

根據(jù)Unit 42研究人員的說法，Xbash主要利用了Hadoop（一個由Apache基金會所開發(fā)的分布式系統(tǒng)基礎架構）、Redis（一個開源的使用ANSIC語言編寫、支持網(wǎng)絡、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫，并提供多種語言的API）和ActiveMQ（Apache出品的開源消息總線）中的三個已知漏洞來實現(xiàn)自我傳播或感染目標服務器。這包括：

Hadoop YARN ResourceManager無需身份驗證的命令執(zhí)行漏洞，于2016年10月首次被公開披露，未分配CVE編號。

Redis任意文件寫入和遠程命令執(zhí)行漏洞，于2015年10月首次被公開披露，未分配CVE編號。

ActiveMQ任意文件寫入漏洞，CVE-2016-3088。

采用Python編寫，目前已有四種不同版本被發(fā)現(xiàn)

到目前為止，Unit 42的研究人員表示他們已經(jīng)發(fā)現(xiàn)了四種不同版本的Xbash。從這些版本之間代碼和時間戳的差異可以看出，該勒索軟件家族仍在被積極地開發(fā)。

Xbash是采用Python編寫的，并且通過PyInstaller轉換成PE可執(zhí)行文件。根據(jù)Unit 42研究人員的說法，這種技術也曾被其他惡意軟件開發(fā)者所使用，它具有如下幾個優(yōu)點：

開發(fā)更快、更容易：使用Python開發(fā)惡意軟件比使用C、C ++或Go更快、更容易，從而使得惡意軟件能夠在短時間內(nèi)快速發(fā)展；

安裝簡單且可靠：通過PyInstaller創(chuàng)建的可執(zhí)行文件，其中包含了所有必需的依賴項，包括Python運行時、庫、用戶庫和第三方庫。鑒于Linux安裝和環(huán)境的多樣性，攻擊者往往無法確定基于Python的惡意軟件是否能夠成功安裝和運行。但通過PyInstaller轉換成PE可執(zhí)行文件之后，攻擊者就可以確保惡意軟件能夠成功地安裝在目標系統(tǒng)上。

反檢測功能：PyInstaller的代碼編譯、代碼壓縮/轉換以及加密功能，有助于惡意軟件繞過防病毒/反惡意軟件引擎或靜態(tài)分析的檢測。在Claud Xiao、Cong Zheng和Xingyu Jin編寫他們的博文時，Xbash在VirusTotal上的檢出率僅為1/57，如下圖所示。

跨平臺惡意軟件：PyInstaller可以將同一段Python代碼轉換成Windows、Apple macOS和Linux的二進制文件，這使惡意軟件真正能夠?qū)崿F(xiàn)跨平臺。

通過掃描TCP或UDP端口尋找目標，已收獲六千美元

根據(jù)Unit 42研究人員的說法，Xbash會基于域名和IP地址來進行掃描。如果掃描的是IP地址，那么它將嘗試掃描眾多TCP或UDP端口，以下是其中一部分：

HTTP: 80, 8080, 8888, 8000, 8001, 8088

VNC: 5900, 5901, 5902, 5903

MySQL: 3306

Memcached: 11211

MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433

FTP: 21

Telnet: 23, 2323

PostgreSQL: 5432

Redis: 6379, 2379

ElasticSearch: 9200

MongoDB: 27017

RDP: 3389

UPnP/SSDP: 1900

NTP: 123

DNS: 53

SNMP: 161

LDAP: 389

Rexec: 512

Rlogin: 513

Rsh: 514

Rsync: 873

Oracle database: 1521

CouchDB: 5984

對于某些服務，如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin，如果相關端口是打開的，那么Xbash將使用內(nèi)置的弱用戶名/密碼字典來嘗試登錄這些服務，如下圖所示。值得注意的是，字典還包含Telnet、FTP和Redis等服務的通用或默認密碼。

如果Xbash成功登錄到了包括MySQL、MongoDB和PostgreSQL在內(nèi)的服務，它將清空服務器中幾乎所有現(xiàn)有數(shù)據(jù)庫（除了存儲用戶登錄信息的一些數(shù)據(jù)庫），然后創(chuàng)建一個名為“PLEASE_READ_ME_XYZ”的新數(shù)據(jù)庫，并插入一個名為“WARNING”的新表，用于顯示勒索信息，如下圖所示：

從勒索信息來看，攻擊者的贖金需求金額為0.02枚比特幣，并威脅受害者“如果我們沒有收到你的付款，我們將泄露你的數(shù)據(jù)庫”。自2018年5月以來，攻擊者的錢包有48筆交易，總收入約為0.964枚比特幣（約價值6000美元）。

總結和安全建議

Xbash是一種相對較新且較復雜的惡意軟件，也是一個活躍的網(wǎng)絡犯罪組織的最新作品。它目前能夠針對Linux和Windows系統(tǒng)實施攻擊，但鑒于PyInstaller的使用，我們并不排除未來會有針對其他系統(tǒng)的版本出現(xiàn)。

想要避免或減輕Xbash所帶來的危害，我們可以采取以下措施：

使用相對復雜的密碼，并經(jīng)常更新（切記不要使用默認密碼）；

及時了解系統(tǒng)安全更新；

在操作系統(tǒng)上實施端點保護；

嚴格限制某些服務的聯(lián)網(wǎng)訪問權限；

對關鍵數(shù)據(jù)進行備份。