欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Xbash勒索挖矿样本分析

来源:本站整理 作者:佚名 时间:2018-09-30 TAG: 我要投稿

一、事件背景
Unit42安全研究团队发现了一款针对Linux和Microsoft Windows服务器的新型恶意样本,Xbash拥有勒索软件和核心功能,同时它还具备自我传播的功能。Xbash主要通过攻击弱密码和未修补的漏洞进行传播。
二、样本分析
样本是用Python语言进行开发编写,然后转化为PE文件,这样主要是为了做免杀处理,同时也具备跨平台的特性。
获取到相应的样本之后,解密提取出程序中的核心PY脚本,如下所示:

1.通过http://ejectrift.censys.xyz/cidir获取公网IP地址段,然后进行端口扫描,如下所示:

扫描的端口号列表如下:
873,3306,5432,6379,27017,8161,8088,8000,8080,8888,5900,5901,5902,9900,9901,9902
2.对相应的WEB服务端口进行扫描,如下所示:

相应的端口服务,列表如下:
HTTP:8088,8000,8080,80
VNC:5900,5901,5902,9900,9901,9902
RDP:3389
Oracle:1521
Rsync:873
Mssql:1433
Mysql:306
Postgresql:5432
Redis:6379,7379
Elasticsearch:9200
Memcached:11211
Mongodb:27017
3.然后对扫描到的WEB服务,进行暴力破解,如下所示:

4.使用内置的弱用户名和密码字典,暴力破解登录相应的服务,如下所示:

相应的WEB服务列表如下:
Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis
使用到的相应的弱用户名列表如下:
USER_DIC = {'mysql': ['root'],
 'postgresql': ['postgres', 'admin'],
 'mongodb': ['admin'],
 'redis': ['null']}
弱密码列表如下:
PASSWORD_DIC = ['test',
 'neagrle',
 '123456',
 'admin',
 'root',
 'password',
 '123123',
 '123',
 '1',
 '{user}',
 '{user}{user}',
 '{user}1',
 '{user}123',
 '{user}2016',
 '{user}2015',
 '{user}!',
 '',
 'P@ssw0rd!!',
 'qwa123',
 '12345678',
 'test',
 '123qwe!@#',
 '123456789',
 '123321',
 '1314520',
 '666666',
 'woaini',
 'fuckyou',
 '000000',
 '1234567890',
 '8888888',
 'qwerty',
 '1qaz2wsx',
 'abc123',
 'abc123456',
 '1q2w3e4r',
 '123qwe',
 '159357',
 'p@ssw0rd',
 'p@55w0rd',
 'password!',
 'p@ssw0rd!',
 'password1',
 'r00t',
 'tomcat',
 'apache',
 'system']
MY_PASSWORD = ['summer',
 '121212',
 'jason',
 'admin123',
 'goodluck123',
 'peaches',
 'asdfghjkl',
 'wang123456',
 'falcon',
 'www123',
 '1qazxsw2',
 '112211',
 'fuckyou',
 'test',
 'silver',
 '123456789',
 '234567',
 '1122334455',
 'xxxxxx',
 '123321',
 '7788521',
 '123456qaz',
 'hunter',
 'qwe123',
 '123',
 'asdf123',
 'password',
 '1q2w3e4r',
 'nihao123',
 'aaaa1111',
 '123123',
 '147258369',
 'a123',
 '123qwe',
 '1234abcd',
 'spider',
 'qqaazz',
 'qwertyuiop',
 '1234qwer',
 '123abc',
 'qwer1234',
 'mustang',
 '123456',
 '123456a',
 'ww123456',
 '1234',
 '123456.com',
 'football',
 'jessica',
 'power',
 'q1w2e3r4t5',
 'aaa123',
 'passw0rd',
 '741852',
 '666666',
 '123465',
 'justin',
 '!@#$%^&*()',
 '12345',
 '222222',
 'qazwsx123',
 '999999',
 'abc123',
 'tomcat',
 'dongdong',
 '654321',
 '111111a',
 'q1w2e3',
 'dragon',
 '1234560',
 '1234567',
 'asd123456',
 'secret',
 'abc123456',
 'master',
 'qq123456',
 '1q2w3e',

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载