Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Xbash
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Xbash
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Xbash

Xbash is a malware family that has targeted Linux and Microsoft Windows servers. The malware has been tied to the Iron Group, a threat actor group known for previous ransomware attacks. Xbash was developed in Python and then converted into a self-contained Linux ELF executable by using PyInstaller.(Citation: Unit42 Xbash Sept 2018)
ID: S0341
Type: MALWARE
Platforms: Windows
Version: 1.2
Created: 30 Jan 2019
Last Modified: 23 Jun 2020

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Xbash uses HTTP for C2 communications.(Citation: Unit42 Xbash Sept 2018)
Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Xbash can create a Startup item for persistence if it determines it is on a Windows system.(Citation: Unit42 Xbash Sept 2018)
Enterprise T1110 .001 Brute Force: Password Guessing

Xbash can obtain a list of weak passwords from the C2 server to use for brute forcing as well as attempt to brute force services with open ports.(Citation: Unit42 Xbash Sept 2018)(Citation: Trend Micro Xbash Sept 2018)
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

Xbash can use scripts to invoke PowerShell to download a malicious PE executable or PE DLL for execution.(Citation: Unit42 Xbash Sept 2018)
.005 Command and Scripting Interpreter: Visual Basic

Xbash can execute malicious VBScript payloads on the victim’s machine.(Citation: Unit42 Xbash Sept 2018)

.007 Command and Scripting Interpreter: JavaScript

Xbash can execute malicious JavaScript payloads on the victim’s machine.(Citation: Unit42 Xbash Sept 2018)

Enterprise T1053 .003 Scheduled Task/Job: Cron

Xbash can create a cronjob for persistence if it determines it is on a Linux system.(Citation: Unit42 Xbash Sept 2018)
Enterprise T1218 .005 System Binary Proxy Execution: Mshta

Xbash can use mshta for executing scripts.(Citation: Unit42 Xbash Sept 2018)
.010 System Binary Proxy Execution: Regsvr32

Xbash can use regsvr32 for executing scripts.(Citation: Unit42 Xbash Sept 2018)

Enterprise T1102 .001 Web Service: Dead Drop Resolver

Xbash can obtain a webpage hosted on Pastebin to update its C2 domain list.(Citation: Unit42 Xbash Sept 2018)

References

  1. Xiao, C. (2018, September 17). Xbash Combines Botnet, Ransomware, Coinmining in Worm that Targets Linux and Windows. Retrieved November 14, 2018.
  2. Trend Micro. (2018, September 19). New Multi-Platform Xbash Packs Obfuscation, Ransomware, Coinminer, Worm and Botnet. Retrieved June 4, 2019.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.