42. nodaļa Pētnieki atklāj Xbash - ļaunprātīgu programmatūru, kas iznīcina Linux un Windows bāzes datu bāzes

42. nodaļa Pētnieki atklāj Xbash - ļaunprātīgu programmatūru, kas iznīcina Linux un Windows bāzes datu bāzes

Drošība / 42. nodaļa Pētnieki atklāj Xbash - ļaunprātīgu programmatūru, kas iznīcina Linux un Windows bāzes datu bāzes 2 minūtes lasīts

Ransom ziņojumu izveidoja Xbash MySQL datu bāzē

Jauna ļaunprātīga programmatūra, kas pazīstama kā Xbash ”Ir atklājuši 42. vienības pētnieki, ziņots par emuāra ziņojumu vietnē Palo Alto Networks . Šī ļaunprātīgā programmatūra ir unikāla ar savu mērķauditoriju un vienlaikus ietekmē Microsoft Windows un Linux serverus. 42. bloka pētnieki ir saistījuši šo ļaunprātīgo programmatūru ar Iron Group, kas ir draudu dalībnieku grupa, kas iepriekš bija pazīstama ar uzbrukumiem ransomware.



Saskaņā ar emuāra ierakstu Xbash ir monētu ieguves, pašpavairošanas un izpirkšanas programmatūras iespējas. Tam ir arī dažas iespējas, kas tiek ieviestas, var ļaut ļaunprātīgai programmatūrai diezgan ātri izplatīties organizācijas tīklā, līdzīgi kā WannaCry vai Petya / NotPetya.



Xbash raksturojums

Komentējot šīs jaunās ļaunprātīgās programmatūras īpašības, 42. nodaļas pētnieki rakstīja: “Nesen 42. vienība izmantoja Palo Alto Networks WildFire, lai identificētu jaunu ļaunprogrammatūru saimi, kuras mērķis ir Linux serveri. Pēc turpmākas izmeklēšanas mēs sapratām, ka tas ir robottīkla un izpirkuma programmatūras apvienojums, kuru šogad izstrādāja aktīvā kibernoziegumu grupa Iron (aka Rocke). Šo jauno ļaunprātīgo programmatūru mēs nosaucām par “Xbash”, pamatojoties uz ļaunprātīgā koda sākotnējā galvenā moduļa nosaukumu. ”

Iron Group iepriekš mērķis bija attīstīt un izplatīt kriptovalūtas darījumu nolaupīšanu vai kalnraču Trojas zirgus, kas galvenokārt bija paredzēti mērķauditorijas atlasei Microsoft Windows. Tomēr Xbash mērķis ir atklāt visus neaizsargātos pakalpojumus, dzēst lietotāju MySQL, PostgreSQL un MongoDB datubāzes un izpirkt Bitcoins. Trīs zināmās ievainojamības, kuras Xbash izmanto Windows sistēmu inficēšanai, ir Hadoop, Redis un ActiveMQ.



Xbash galvenokārt izplatās, mērķējot uz visām neatklātajām ievainojamībām un vājām parolēm. Tas ir datus iznīcinoši , kas nozīmē, ka tas iznīcina Linux bāzes datubāzes kā savas izpirkuma programmatūras iespējas. Xbash arī nav funkciju, kas atjaunotu iznīcinātos datus pēc izpirkuma maksas atmaksāšanas.

Atšķirībā no iepriekšējiem slavenajiem Linux robottīkliem, piemēram, Gafgyt un Mirai, Xbash ir nākamā līmeņa Linux robottīkls, kas paplašina savu mērķi uz publiskām vietnēm, jo ​​tas ir domēns domēniem un IP adresēm.

Xbash ģenerē IP adrešu sarakstu upura apakštīklā un veic ostu skenēšanu (Palo Alto Networks)



Ļaunprātīgas programmatūras iespējām ir vēl dažas specifiskas iezīmes:

  • Tam ir robottīkls, monētu kalšanas, izpirkuma programmatūras un pašpavairošanas iespējas.
  • Tā mērķauditorija ir Linux balstītas sistēmas pēc izpirkuma programmatūras un robottīklu iespējām.
  • Tā mērķauditorija ir Microsoft Windows balstītas sistēmas, lai iegūtu monētu ieguves un pašpavairošanas iespējas.
  • Atpirkšanas programmatūras komponents ir paredzēts un izdzēš Linux bāzes datubāzes.
  • Līdz šim mēs esam novērojuši 48 ienākošos darījumus ar šiem seifiem ar kopējiem ienākumiem aptuveni 0,964 bitcoīnos, kas nozīmē, ka 48 upuri ir samaksājuši apmēram USD 6000 (šī raksta tapšanas laikā).
  • Tomēr nav pierādījumu, ka apmaksātie izpirkumi būtu upuru atveseļošanās rezultātā.
  • Patiesībā mēs nevaram atrast pierādījumus par funkcionalitāti, kas ļautu atgūt, izmantojot izpirkuma maksu.
  • Mūsu analīze rāda, ka tas, iespējams, ir Iron Group darbs - grupa, kas ir publiski saistīta ar citām ransomware kampaņām, tostarp tām, kas izmanto tālvadības sistēmu (RCS), kuras avota kods tika uzskatīts par nozagtu no “ Datorurķēšana ”2015. gadā.

Aizsardzība pret Xbash

Organizācijas var izmantot dažus 42. nodaļas pētnieku sniegtos paņēmienus un padomus, lai pasargātu sevi no iespējamiem Xbash uzbrukumiem:

  1. Izmantojot spēcīgas, noklusējuma paroles
  2. Drošības atjauninājumu atjaunināšana
  3. Galapunkta drošības ieviešana Microsoft Windows un Linux sistēmās
  4. Piekļuves novēršana nezināmiem resursdatoriem internetā (lai novērstu piekļuvi komandu un vadības serveriem)
  5. Stingru un efektīvu dublēšanas un atjaunošanas procesu un procedūru ieviešana un uzturēšana.
Tagi Linux Windows