Hacktool.Win32.Xwo.a | بانک اطلاعات تهدیدات بدافزاری پادویش

شرح کلی

نوع: Hacktool
درجه تخریب: زیاد
میزان شیوع: کم

Hacktool چیست؟

Hacktoolها ابزارهایی هستند که برای کمک به نفوذ طراحی شده‌اند. این ابزارها می‌توانند توسط یک هکر برای دریافت برخی اطلاعات از شبکه سازمان قربانی استفاده شوند. معمولا از این ابزارها جهت بازیابی اطلاعات اعتبارسنجی سرورهای حساس قربانی استفاده می‌شود. به عنوان مثال هکر می‌تواند برای حدس زدن کلمات عبور از ابزارهای Hacktool مبتنی بر حملات Brute Force استفاده کند. در برخی موارد نیز برای بالا بردن سطح دسترسی و سوء استفاده از آسیب‌پذیری‌های موجود، از HackToolها استفاده می‌شود. به طور کلی ابزارهای هک برنامه‌هایی هستند که سدهای امنیتی رایانه و شبکه را می‌توانند بشکنند و قابلیت‌های مختلفی برای نفوذ به سیستم‌ها مهیا می‌کنند.

بدافزار Xwo چیست؟

Xwo یک ربات مبتنی بر پایتون است که خدمات وب و رمزهای عبور پیش‌فرض را در ftp ،mysql ،postgresql ،mongodb ،redis ،memcached ،Tomcat ،phpMyAdmin ،VNC و RSYNC اسکن می‌کند. نام این ابزار از نام ماژول اصلی آن گرفته شده است. این Hacktool به عنوان ابزار استخراج اطلاعات توسط بدافزارهای Xbash و MongoLock استفاده می‌شود. این اسکنر پس از یافتن رمزهای عبور مورد نظر سرور بدافزار، این اطلاعات را به سرور فرماندهی و کنترل (C2) خود ارسال می‌کند.

توضیحات فنی

MongoLock یک باج افزار است که سرورهای MongoDB را مورد حمله قرار می‌دهد و از مهاجمان برای بازیابی درخواست باج می‌کند. Xwo و MongoLock هر دو از کدهای مشابه مبتنی بر پایتون استفاده می‌کنند و در زیرساخت C2 همپوشانی دارند. برخلاف MongoLock، ابزار Xwo هیچ گونه قابلیت باج‌افزاری ندارد، اما اطلاعات سرقت شده را به زیرساخت C2 ارسال می‌کند.

علائم آلودگی

از علائم آلودگی آن می‌توان به ارتباط شبکه‌ای آن اشاره کرد. بدافزار تلاش می‌کند به آدرس‌های زیر وصل شود:

• s[.]propub3r6espa33w[.]tk
• s[.]blockchainbdgpzk[.]tk
• s[.]pcrisk[.]xyz
• s[.]rapid7[.]xyz

شرح عملکرد

این ابزار ابتدا محدوده شبکه ارائه شده توسط سرور فرماندهی و کنترل را اسکن می‌کند. سپس جمع آوری اطلاعات را آغاز می‌کند. به این صورت که ابتدا یک درخواست HTTP POST را با یک User-Agent تصادفی از لیست گزینه‌های کدگذاری شده انجام می‌دهد. این اسکنر برای به دست آوردن لیست سرورهای فرماندهی و کنترل، از کدهای رمزگذاری شده استفاده می‌کند:

1-Hacktool.Win32.Xwo.a

هدف Xwo بررسی رمزهای عبور پیش‌فرض در دیتابیس‌های MySQL ،PostgreSQL ،MongoDB ،Redis و Memcached است. همان طور که در تصویر زیر مشخص است، در کد این ابزار یک دیکشنری از پسوردهای ضعیف و شناخته شده قرار داده شده تا اگر رمز عبور کاربر هم مطابق با یکی از آنهاست، آن را برای سرور ارسال کند.

2-Hacktool.Win32.Xwo.a

در صورتی که اسکنر Apache Tomcat را در سیستم پیدا کند، از یک ماژول برای بررسی پیکربندی نامناسب و گذرواژه پیش‌فرض استفاده می‌کند. همچنین، اطلاعات اضافی مانند مسیرهای پیش‌فرض SVN ،Git و پشتیبان نیز جمع‌آوری می‌شوند.

نمونه ای از ماژول‌های تست اعتبار برای tomcat:

3-Hacktool.Win32.Xwo.a

لیست پورت‌های مورد استفاده برای نرم‌افزارهای مورد هدف بدافزار:

4-Hacktool.Win32.Xwo.a

روش مقابله و پاک‌سازی سیستم

آنتی ویروس پادویش این بدافزار را شناسایی کرده و از سیستم حذف می‌کند. همچنین اعمال برخی سیاست‌ها، می‌تواند از بروز چنین حملاتی به طور حداکثری جلوگیری کند. مهم‌ترین اقدامات عملی امنیتی که باید در هر شبکه‌ای انجام شود، به شرح زیر هستند:

به‌روز بودن آنتی‌ویروس و بررسی گزارش‌های بخش جلوگیری از نفوذ به طور مرتب
از راه‌های نفوذ این بدافزار می‌توان به سوء استفاده از رعایت نشدن سیاست‌های امنیتی لازم در مورد دیتابیس‌ها اشاره کرد. بنابراین، توصیه می‌شود اقدامات زیر جدی گرفته شود:

• تغییر نام کاربری و کلمه عبور پیش فرض، بلافاصله بعد از نصب پایگاه‌های داده

• اکانت‌هایی که در حال استفاده نیستند را قفل کنید. اگر مطمئن هستید که هرگز از آنها استفاده نخواهد شد حذفشان کنید.

• استفاده از کلمات عبور قوی

• حذف اکانت‌های بلااستفاده و همچنین حذف دسترسی عمومی از همه اکانت‌ها