Sicherheits Forscher entdeckten vor kurzem ein neues Werkzeug, das aktiv abtastet für exponierte Web-Service und Standard-Passwörter.
Die Forscher, die bösartige Werkzeug „Xwo“ genannt. Der Name stammt von seinen primären Modulnamen genommen. Xwo wird höchstwahrscheinlich im Zusammenhang mit zuvor entdeckten Malware-Familien Xbash und MongoLock.
Wie die Xwo Malware entdeckt wurde? Was ist Xwo?
Alien Labs Forscher zum ersten Mal bemerken Xwo von einem Server bedient wird, um eine Datei mit dem Namen xwo.exe dropping.
Zusamenfassend, die Xwo Malware ist ein Python-basierte Bot-Scanner zum Zweck der Aufklärung geschaffen. Basierend auf IP-Bereiche von einem Kommando- und Kontrollserver empfangen, die Malware sichtet für Standard-Passwörter für Dienste, Berichterstattung über die Ergebnisse zurück. Xwo nicht unbedingt böswillig sein, aber es für solche Zwecke wird eingesetzt.
Xwo Verbände mit MongoLock und Xbash
MongoLock gezielter MongoDB Datenbanken, die keinen Schutz hatte und offenen Fernzugriff links. MongoLock wischte diese Datenbanken und verwendet Erpressung Taktik, um zu versuchen und die Opfer Parteien Trick angeblich ein Lösegeld Gebühr zu zahlen für ihre kompromittierten Daten erholt.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo Sperre Ransomware Löscht Vulnerable MongoDB Datenbanken.
Die Forscher sagen, dass beide Xwo und MongoLock verwenden ähnlichen Python-basierten Code, Befehls- und Steuer Domänbenennungen, und haben eine Überlappung in Kommando- und Kontroll Server-Infrastruktur.
Der Unterschied zwischen den beiden ist, dass Xwo hat keine Ransomware oder Ausbeutung Fähigkeiten, sondern sendet gestohlene Anmeldeinformationen und Service-Zugriff zurück auf die Kommando- und Kontrollinfrastruktur.
Der Xbash Malware-Stamm kombiniert Eigenschaften von vier Malware-Kategorien - Ransomware, Botnet, Wurm, und Krypto-Bergleute. Nach Ansicht der Forscher von Palo Alto Networks’ Unit 42, Xbash der Ransomware und Botnet-Funktionen werden auf Linux-Systemen gerichtet, wo die Malware angewiesen wird, Datenbanken löschen. Wie für Windows, Xbash für cryptomining Zwecke und Selbstausbreitung verwendet, nutzen bekannte Sicherheitslücken in Hadoop, Redis, und ActiveMQ Dienstleistungen.
Es scheint, dass der Python-Skript von Xwo Code aus XBash kopiert enthält.
Wie dieser Bericht, es ist unklar, ob Xwo mit gleichen Gegner bekannt als „Iron Group“ bezieht, oder wenn sie öffentlichen Code umgewidmet. Auf der Grundlage unserer Forschung auf dem neuesten Stand, eine Potentialbeziehung kann Eisen Cyber-Kriminalität Gruppe und Rocke existbetween. Wir sind nicht in der Lage, die Beziehung mit akzeptablen Vertrauen wie dieses Berichts zu beurteilen, Forscher sagten,.
Weitere Xwo Spezifikationen
Nachdem es ausgeführt, Xwo wird eine HTTP-POST-Anforderung mit einem zufälligen User-Agent aus einer hartcodierten Liste der möglichen Optionen durchführen. Die Malware empfängt dann Befehle aus dem Befehls- und Steuerdomäne mit einem kodierten öffentlichen Netzwerkbereich zu scannen. Es ist bemerkenswert, dass „der IP-Bereich durch die C2-Infrastruktur geliefert wird Base64-codiert und komprimierte zlib".
Die Kommando- und Kontrollinfrastruktur von Xwo ist im Zusammenhang mit MongoLock. Spezifische Muster sind in Bezug auf die Registrierung Domains imitiert Sicherheit und Nachrichtenorganisationen und Websites wie Rapid7 gefolgt (rapid7.com), PCRisk (pcrisk.com), und ProPublica Zwiebel Website (propub3r6espa33w.onion) aber mit Tk TLDs.
Xwo scannt auch den Netzwerkbereich durch die Kommando- und Kontrollserver zur Verfügung gestellt. Als nächstes ist Aufklärungstätigkeit mit dem Ziel, Informationen über die verfügbaren Dienste des Sammelns. Die Forscher glauben, dass die Bedrohung Akteure diese Informationen zu sammeln für die spätere Verwendung.
Gesammelte Informationen enthält:
– Die Verwendung von Standardanmeldeinformationen in FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– Tomcat Standardanmeldeinformationen und Fehlkonfigurationen.
– Standard SVN und Git Pfade.
– Git repositoryformatversion Inhalt.
– PhpMyAdmin Details.
– Www Backup-Pfade.
– RealVNC Enterprise-Direct Connect.
– RSYNC Zugänglichkeit.
Abschließend, Xwo erscheint ein neuer Schritt in Richtung einer Vorschubfähigkeit zu sein, und Forscher erwarten, dass der volle Wert des Aufklärungswerkzeug werden in Zukunft Angriffe beaufschlagten.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: