Gyenge pontokat puhatol ki az Xwo trójai

​A nemes egyszerűséggel Xwo néven emlegetett kártékony program megannyi értékes információt képes kiszivárogtatni az informatikai infrastruktúrákból.
 

A kiberbűnözők a célpontjaik feltérképezéséhez, a támadási felületek meghatározásához és az alkalmazott módszereik kiválasztásához gyakorta vetnek be olyan eszközöket, amelyek révén átfogó képet kaphatnak a potenciális áldozataikról. Az egyik ilyen eszköz a nemrégen feltűnt Xwo trójai is, amely kifejezetten olyan adatok gyűjtésére és kiszivárogtatására termett, amik későbbi támadásokat segíthetnek elő.
 
Amikor az Xwo bekerül egy hálózatba, akkor elkezdi feltérképezni az erőforrásokat, majd megpróbál sérülékeny pontokat kipuhatolni. Különösen figyel azokra az eszközökre, szoftverekre, amelyek gyári, alapértelmezett felhasználónévvel és jelszóval is hozzáférhetők. A károkozó egyebek mellett a következőkkel kapcsolatban próbál minél több információt bezsebelni:

• alapértelmezett hitelesítő adatokkal való hozzáférhetőség ellenőrzése FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached szolgáltatások esetében
• Tomcat hozzáférések ellenőrzése, és sérülékeny konfigurációs beállítások feltérképezése
• SVN és Git hozzáférések keresése
• PhpMyAdmin oldalak felkutatása
• biztonsági mentések keresése
• RealVNC Enterprise Direct Connect kapcsolatok
• RSYNC szolgáltatások felkutatása.

A fentiek kapcsán összegyűjtött adatokat a kártékony program egy előre meghatározott kiszolgálóra juttatja el szokványos HTTP POST kérések útján.
 
Nem előzmények nélküli a károkozó
 
Az Xwo trójait elsőként az AT&T által felvásárolt AlienVault biztonsági csapata elemezte. A szakértők megállapították, hogy a kártékony program közeli rokonságban lehet a korábbról már ismert MongoLock, valamint XBash károkozókkal. Az új szerzemény is Python alapokra épül, és több esetben egy az egyben átmásolt kódokat tartalmaz az említett két kártevőből. A jó hír, hogy ellentétben a két másik trójaival, egyelőre nem rendelkezik rombolásra alkalmas összetevőkkel. (Például a MongoLock a MongoDB adatbázisok kompromittálásával okozott károkat, és még zsarolta is az áldozatait.)
 
Az AlienVault szakemberei a korszerű vírusvédelem alkalmazása mellett azt javasolták a vállalatoknak, intézményeknek, hogy a lehetőségekhez képest minél inkább korlátozzák a különféle szolgáltatások, alkalmazások hozzáférhetőségét. Emellett minden esetben változtassák meg az alapértelmezett felhasználóneveket, jelszavakat.