Xbash恶意软件安全预警通告
预警编号:NS-2018-0028
2018-10-4
TAG | Xbash、恶意软件、勒索、挖矿 |
|---|---|
危害等级 | 高,此恶意软件具有自我传播和快速扩散能力,并利用已知漏洞感染服务器,对数据造成永久伤害。 |
版本 | 1.0 |
1
风险概述
本月17日,Unit42研究人员在其官网博客中公布了一款新型恶意软件Xbash。据了解Xbash是由2016年以来便一直保持活跃的网络犯罪组织Iron开发。Xbash名字由来于恶意代码的原始主模块名称。该恶意软件主要针对Linux和Microsoft Windows服务器,结合了不同恶意软件的功能,如勒索软件,挖矿软件,僵尸网络和蠕虫,对目标展开攻击。
Xbash攻击分为几个部分:自我传播(利用漏洞)、需要扫描的目标地址下载、上传目标漏洞的信息、下载目标的弱口令信息、暴力猜测攻击目标。该恶意软件具有自我传播和快速扩散的能力,类似于WannaCry或Petya/NotPeya,通过扫描TCP或UDP端口寻找目标,并利用已知漏洞感染服务器,对数据造成永久性伤害。
根据绿盟威胁情报中心(NTI)的定位,发现当前C&C服务器IP地址104.24.106.22,位于美国。根据攻击者勒索信息中给出的钱包地址,发现其目前为止已收入1.09BTC,按照当前单笔勒索金额0.02BTC计算,攻击者至少已收取其中54位感染者的赎金。
参考链接:
https://securityaffairs.co/wordpress/76305/malware/xbash-malware.html
https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/
SEE MORE →
2传播与感染影响分析
Xbash使用python语言开发,恶意软件作者通过滥用合法工具PyInstaller进行分发,转换为自包含的Linux ELF可执行文件,具有很好的跨平台特性,能够运行在macOS,Linux,Windows等平台上,攻击目标主要是Windows和Linux服务器。同时恶意软件可以对公网IP进行攻击,同样也具有内网探测的功能,将影响范围不局限于公网中,造成的危害范围较广。
该恶意软件初始阶段使用弱口令字典进行爆破,在其后来的发展过程中加入了对Hadoop Yarn 、Redis和ActiveMQ中三个已知漏洞的利用,以此来实现自我传播或感染目标服务器。
目前已分析确认被扫描的WEB 服务包括:VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB、phpMyAdmin、telnet、FTP、redis。所利用的已知漏洞如下:
1、 Hadoop YARN Resource Manager未经身份验证的命令执行漏洞,于2016年10月首次披露,未分配CVE编号。
2、 Redis任意文件写入和远程命令执行漏洞,于2015年10月首次公开,未分配CVE编号。
3、 ActiveMQ任意文件写入漏洞,CVE-2016-3088。
一旦漏洞利用成功,Xbash 将直接执行命令下载并运行恶意shell脚本或python脚本,或创建新的 cron 任务来执行以上操作。恶意脚本的主要功能是杀死机器上其他挖矿程序,下载由Iron cybercrime小组开发的挖矿程序,并将Xbash 自身下载到目标系统中以进一步传播。
3攻击监测与防护
一.产品防护
针对此漏洞,绿盟科技相关防护产品陆续发布升级补丁,建议相关用户及时升级规则,形成安全产品防护和攻击监测能力。安全防护产品规则版本号如下:
防护产品 | 升级包/规则版本号 |
|---|---|
IPS | 5.6.7.739、5.6.8.739、5.6.9.18693、5.6.10.18693 |
NF | 5.6.7.740、6.0.1.740 |
产品规则升级的操作步骤详见“附录 产品使用指南”。
二、攻击监测
绿盟科技威胁分析系统(TAC)可针对通过网页、电子邮件等方式试图进入内部网络的Xbash恶意软件进行监测,结果如下:
三、安全建议
- 服务器操作系统、各类业务信息系统的登录账号要使用复杂度高的口令,避免弱口令入侵;
- 及时更新Hadoop、Redis、ActiveMQ漏洞补丁或进行软件升级,避免漏洞利用入侵;
- 数据备份,在数据被破坏的情况下能够快速恢复业务。
- 安装终端防护软件,防止终端设备被入侵。
- 部署边界防护设备,形成主动监测和防护能力,最大限度阻止恶意代码及入侵事件发生。
- 关注安全预警信息,提升企业安全防护能力。
附录样本分析
该样本主要通过猜解弱口令,或尝试利用对应漏洞植入到系统中,若成功植入运行,则尝试使用对应语句删除包括mysql、postgresql、mongodb的数据库,并留下勒索提示。
样本主要功能
一、弱口令爆破
程序获取弱口令字典添加到list中:
本地用户名字典:
{'mysql': ['root'], 'postgresql': ['postgres', 'admin'], 'mongodb': ['admin'], 'redis': ['null'], 'phpmyadmin': ['root', 'mysql', 'www', 'bbs', 'wwwroot', 'bak', 'backup'], 'rsync' : ['test', 'root', 'www', 'web', 'rsync', 'admin']} |
|---|
本地弱口令字典:
['test', 'neagrle', '123456', 'admin', 'root', 'password', '123123', '123', '1', '{user}', '{user}{user}', '{user}1', '{user}123', '{user}2016', '{user}2015', '{user}!', '', 'P@ssw0rd!!', 'qwa123', '12345678', 'test', '123qwe!@#', '123456789', '123321', '1314520', '666666', 'woaini', 'fuckyou', '000000', '1234567890', '8888888', 'qwerty', '1qaz2wsx', 'abc123', 'abc123456', '1q2w3e4r', '123qwe', '159357', 'p@ssw0rd', 'p@55w0rd', 'password!', 'p@ssw0rd!', 'password1', 'r00t', 'tomcat', 'apache', 'system', 'summer', '121212', 'jason', 'admin123', 'goodluck123', 'peaches', 'asdfghjkl', 'wang123456', 'falcon', 'www123', '1qazxsw2', '112211', 'fuckyou', 'test', 'silver', '123456789', '234567', '1122334455', 'xxxxxx', '123321', '7788521', '123456qaz', 'hunter', 'qwe123', '123', 'asdf123', 'password', '1q2w3e4r', 'nihao123', 'aaaa1111', '123123', '147258369', 'a123', '123qwe', '1234abcd', 'spider', 'qqaazz', 'qwertyuiop', '1234qwer', '123abc', 'qwer1234', 'mustang', '123456', '123456a', 'ww123456', '1234', '123456.com', 'football', 'jessica', 'power', 'q1w2e3r4t5', 'aaa123', 'passw0rd', '741852', '666666', '123465', 'justin', '!@#$%^&*()', '12345', '222222', 'qazwsx123', '999999', 'abc123', 'tomcat', 'dongdong', '654321', '111111a', 'q1w2e3', 'dragon', '1234560', '1234567', 'asd123456', 'secret', 'abc123456', 'master', 'qq123456', '1q2w3e', 'playboy', 'P@ssw0rd', '123654', '88888888', '12345678', 'orange', 'rabbit', 'jonathan', '000000', 'qwer', 'admin', 'asdfasdf', '1234567890', '709394', '12qwaszx', 'abcd1234', 'pass', 'fuck', 'abc12345', 'qweasdzxc', 'abcdef', 'superman', 'rainbow', '11111111111', '1', '321', '888888', '1qaz2wsx', 'test', '112233', 'qazwsx', 'welcome', '4815162342', 'tiger', 'wangyang', 'q1w2e3r4', '111111', 'a123456', 'hello', '123456654321'] |
|---|
二、端口扫描/攻击
样本首先对攻击者指定的网段内的随机IP执行一次端口扫描。根据对方开放端口的不同,样本执行不同的恶意行为:
三、勒索
样本提示用户,数据库已备份至攻击者的服务器,以此向用户勒索0.02BTC的赎金,然而样本中不执行备份数据库的行为,因此用户即使交付赎金也是无法恢复数据库文件的:
四、漏洞利用
在新版本的XBash中,我们观察到了一些已知的漏洞扫描payload:
- CVE-2016-3088,activeMQ任意文件写入漏洞:
- HadoopYARN 远程命令执行漏洞:
- Redis远程命令执行漏洞:
五、执行脚本
若样本检测到运行在windows环境下,则利用Redis命令执行漏洞,调用shell命令,通过mshta/regsvr32尝试通过远程服务器下载用于部署恶意软件或coinminer挖矿程序的js脚本。
Windows下挖矿模块启动的powershell脚本:
Windows下挖矿模块启动的JS脚本:
若样本检测到自身运行在windows环境下,则利用Redis命令执行漏洞,调用shell命令,通过mshta/regsvr32尝试通过远程服务器下载用于部署coinminer挖矿程序的js脚本。
网络协议
C&C通信:
样本首先访问pastbin.com,获取C&C服务器列表:
之后,样本每次都将自身收集到的系统信息(服务、IP、口令等)以HTTP POST形式上传至列表中随机的C&C服务器:
同时,样本亦会尝试从C&C服务器获取更多的动态配置信息,例如新的弱口令字典,以gzip方式编码传送:
网络通信特征:
样本上传感染主机的信息特征:post数据包中包含
“lanip”,“port”,“wanip”,“username”,“password” |
|---|
字段,可通过正则进行匹配这些字段来检测。返回信息为固定的
“0d 0a 32 0d 0a 6f 6b 0d 0a 30 0d 0a 0d 0a” |
|---|
获取弱口令的通信特征:post数据返回信息以“---”字符串进行分割,获取数量为200个弱口令。
部分格式:
“cyprus---oracle---seneca---popopo---cowgirl” |
|---|
附录产品使用指南
NIPS防护配置指导
已经部署绿盟网络入侵防护系统(NIPS)的用户,可通过规则升级进行有效的防护,请相关用户可参考以下步骤进行规则库升级。
从官网下载最新的NIPS升级包,以5.6.10版本为例,访问以下链接可获得最新的规则升级包:
http://update.nsfocus.com/update/downloads/id/23111
在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。
更新成功后,在系统默认规则库中查找规则编号:24298,即可查询到对应的规则详情。
注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。
NF防护配置指导
已经部署绿绿盟下一代防火墙系统(NF)的用户,可通过规则升级进行有效的防护,请相关用户可参考以下步骤进行规则库升级。
1. 从官网下载最新的NF升级包,以6.0.1版本为例,访问以下链接可获得最新的规则升级包:
http://update.nsfocus.com/update/downloads/id/23107
2. 在NF的规则升级界面进行升级:
3. 手动选择规则包,点击提交即可完成更新。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。