一、事件背景
Unit42安全研究团队发现了一款针对Linux和Microsoft Windows服务器的新型恶意样本,Xbash拥有勒索软件和核心功能,同时它还具备自我传播的功能。Xbash主要通过攻击弱密码和未修补的漏洞进行传播。
二、样本分析
样本是用Python语言进行开发编写,然后转化为PE文件,这样主要是为了做免杀处理,同时也具备跨平台的特性。
获取到相应的样本之后,解密提取出程序中的核心PY脚本,如下所示:
1.通过http://ejectrift.censys.xyz/cidir获取公网IP地址段,然后进行端口扫描,如下所示:
扫描的端口号列表如下:
873,3306,5432,6379,27017,8161,8088,8000,8080,8888,5900,5901,5902,9900,9901,9902
2.对相应的WEB服务端口进行扫描,如下所示:
相应的端口服务,列表如下:
HTTP:8088,8000,8080,80
VNC:5900,5901,5902,9900,9901,9902
RDP:3389
Oracle:1521
Rsync:873
Mssql:1433
Mysql:306
Postgresql:5432
Redis:6379,7379
Elasticsearch:9200
Memcached:11211
Mongodb:27017
3.然后对扫描到的WEB服务,进行暴力破解,如下所示:
4.使用内置的弱用户名和密码字典,暴力破解登录相应的服务,如下所示:
相应的WEB服务列表如下:
Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis
使用到的相应的弱用户名列表如下:
USER_DIC = {'mysql': ['root'],
'postgresql': ['postgres', 'admin'],
'mongodb': ['admin'],
'redis': ['null']}
弱密码列表如下:
PASSWORD_DIC = ['test',
'neagrle',
'123456',
'admin',
'root',
'password',
'123123',
'123',
'1',
'{user}',
'{user}{user}',
'{user}1',
'{user}123',
'{user}2016',
'{user}2015',
'{user}!',
'',
'P@ssw0rd!!',
'qwa123',
'12345678',
'test',
'123qwe!@#',
'123456789',
'123321',
'1314520',
'666666',
'woaini',
'fuckyou',
'000000',
'1234567890',
'8888888',
'qwerty',
'1qaz2wsx',
'abc123',
'abc123456',
'1q2w3e4r',
'123qwe',
'159357',
'p@ssw0rd',
'p@55w0rd',
'password!',
'p@ssw0rd!',
'password1',
'r00t',
'tomcat',
'apache',
'system']
MY_PASSWORD = ['summer',
'121212',
'jason',
'admin123',
'goodluck123',
'peaches',
'asdfghjkl',
'wang123456',
'falcon',
'www123',
'1qazxsw2',
'112211',
'fuckyou',
'test',
'silver',
'123456789',
'234567',
'1122334455',
'xxxxxx',
'123321',
'7788521',
'123456qaz',
'hunter',
'qwe123',
'123',
'asdf123',
'password',
'1q2w3e4r',
'nihao123',
'aaaa1111',
'123123',
'147258369',
'a123',
'123qwe',
'1234abcd',
'spider',
'qqaazz',
'qwertyuiop',
'1234qwer',
'123abc',
'qwer1234',
'mustang',
'123456',
'123456a',
'ww123456',
'1234',
'123456.com',
'football',
'jessica',
'power',
'q1w2e3r4t5',
'aaa123',
'passw0rd',
'741852',
'666666',
'123465',
'justin',
'!@#$%^&*()',
'12345',
'222222',
'qazwsx123',
'999999',
'abc123',
'tomcat',
'dongdong',
'654321',
'111111a',
'q1w2e3',
'dragon',
'1234560',
'1234567',
'asd123456',
'secret',
'abc123456',
'master',
'qq123456',
'1q2w3e',