XWO:一款扫描互联网漏洞的恶意软件

作者:   深圳市网安计算机安全检测技术有限公司 2019/05/08 10:05:42 216次阅读 国际
文章来源:http://www.mottoin.com/detail/3946.html

       网络世界中,威胁时时刻刻都在发生。在网络安全如此重要的今天,任何担心其企业网络安全的公司都需要尽量确保网络攻击不会造成任何伤害,或至少尽一切努力减少不良影响。

F32U53AJH06JX3W71kV3O6eVrzBWmXLI0kitdIMS.png

       近期AT&T公司的Alien Labs发现了一种新的恶意软件,因其主要模块名称为XWO,所以研究人员将该恶意软件命名为XWO。此恶意软件可以在互联网上搜索潜在的漏洞,帮助威胁行为者进行网络犯罪活动。

XWO的基本功能

       一般来说,XWO有三个基本功能来利用安全漏洞,无论是谁用于何种目的。

       首先,XWO主动扫描大量页面和在线平台。其目的是发现含有漏洞,或者是以默认密码登陆的门户网站。为此,它结合了各种恶意软件系列的特性,如勒索软件、僵尸网络、蠕虫或加密恶意软件。

       一旦找到易受攻击的门户网站,与其他勒索软件技术不同,XWO恶意软件不会单独行动。相反,它收集有关凭据、受保护服务的密码和备份等信息,并通过HTTP POST请求将其发送到控制服务器。

       威胁行为者可以转储并访问该服务器上的信息,进行特定目的的网络攻击。在许多情况下,他们的主要目标是让已知的门户网站重定向到恶意域(通常扩展名为.tk),这些域将窃取尽可能多的信息。如果成功,威胁行为者就可能会要求收取恢复被盗数据的赎金。

受此恶意软件影响的目标

       XWO的目标是获得尽可能多用户的凭据,这意味着大型门户网站和在线公司将永远是其攻击目标,某些媒体机构和网络安全公司都在受影响的受害者名单上。

       为此,此恶意软件将攻击集中在FTP、MySQL、PostgreSQL、MongoDB、Redis、Memcached、Tomcat、phpMyAdmin、VNC或RSYNC等数据库上,这些服务中已被发现多个漏洞。

mvg9ro5sNksUrqYGCLf4uxspvvH3Eff86HCwT5VR.png

防御XWO恶意软件

       XWO的存在对各类公司而言,无论其类型或规模如何,都存在明显的威胁。因此,公司网络系统的管理员需要制定适当的措施。

       公司必须确保不要使用许多内部服务器的默认密码,而应使用不同的、更复杂的密码。除此之外,不定期更改登陆凭据也是一个好办法。总之,管理员使用的密码应该避免被犯罪分子轻易猜出。

       其次,所有公司都有战略服务器,他们在其上存储工作所需的各种敏感信息。为了防止出现问题,必须尽可能禁止直接通过网络来访问这些服务器。

       事实上,当暴力入侵发生时,网络攻击通常不会启动。相反,它们通常很久以前就已经潜伏在系统中而不被发现。公司企业需要时刻注意可疑现象,以便尽早防范,阻止像XWO这样的各种恶意软件。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室