Penyelidik Unit 42 Menemui Xbash - Perisian Keras Yang Memusnahkan Pangkalan Data Berasaskan Linux dan Windows

Keselamatan / Penyelidik Unit 42 Menemui Xbash - Perisian Keras Yang Memusnahkan Pangkalan Data Berasaskan Linux dan Windows 2 minit membaca

Mesej Ransom Dicipta oleh Xbash di Pangkalan Data MySQL

Malware yang baru dikenali sebagai ‘ Xbash Telah ditemui oleh penyelidik Unit 42, catatan blog di Palo Alto Networks telah melaporkan . Malware ini unik dalam daya penargetannya dan mempengaruhi pelayan Microsoft Windows dan Linux secara serentak. Penyelidik di Unit 42 telah mengaitkan perisian hasad ini dengan Iron Group yang merupakan kumpulan pelaku ancaman yang sebelumnya terkenal dengan serangan ransomware.

Menurut catatan blog tersebut, Xbash mempunyai kemampuan membuat duit syiling, menyebarkan diri dan ransonware. Ini juga memiliki beberapa kemampuan yang ketika dilaksanakan, dapat memungkinkan malware menyebar dengan cukup cepat dalam rangkaian organisasi, dengan cara yang serupa seperti WannaCry atau Petya / NotPetya.



Ciri-ciri Xbash

Mengulas mengenai ciri-ciri malware baru ini, penyelidik Unit 42 menulis, “Baru-baru ini Unit 42 menggunakan Palo Alto Networks WildFire untuk mengenal pasti keluarga malware baru yang menyasarkan pelayan Linux. Setelah siasatan lebih lanjut, kami menyedari ini adalah gabungan botnet dan ransomware yang dikembangkan oleh kumpulan jenayah siber aktif Iron (aka Rocke) tahun ini. Kami telah menamakan perisian hasad baru ini 'Xbash', berdasarkan nama modul utama asal kod jahat. '



Kumpulan Iron sebelumnya bertujuan untuk mengembangkan dan menyebarkan rampasan transaksi cryptocurrency atau pelombong Trojan yang kebanyakannya bertujuan untuk menyasarkan Microsoft Windows. Walau bagaimanapun, Xbash bertujuan untuk mencari semua perkhidmatan yang tidak dilindungi, menghapus pangkalan data MySQL, PostgreSQL dan MongoDB pengguna, dan tebusan untuk Bitcoin. Tiga kelemahan yang diketahui digunakan oleh Xbash untuk menjangkiti Sistem Windows adalah Hadoop, Redis dan ActiveMQ.



Xbash menyebar terutamanya dengan menyasarkan kerentanan dan kata laluan yang lemah. Ia adalah merosakkan data , menyiratkan bahawa ia memusnahkan pangkalan data berasaskan Linux sebagai keupayaan ransomwarenya. Tidak ada fungsi yang ada di Xbash yang akan memulihkan data yang musnah setelah wang tebusan dilunaskan.

Berbeza dengan botnet Linux terkenal sebelumnya seperti Gafgyt dan Mirai, Xbash adalah botnet Linux peringkat seterusnya yang meluaskan sasarannya ke laman web awam kerana menyasarkan domain dan alamat IP.

Xbash menghasilkan senarai alamat IP di subnet mangsa dan melakukan pengimbasan port (Palo Alto Networks)



Terdapat beberapa spesifikasi lain mengenai kemampuan perisian hasad:

  • Ia memiliki kemampuan botnet, coinmining, ransomware dan kemampuan menyebarkan diri.
  • Ia mensasarkan sistem berasaskan Linux untuk kemampuan ransomware dan botnet.
  • Ia mensasarkan sistem berasaskan Microsoft Windows untuk kemampuan penggabungan dan penyebarannya sendiri.
  • Komponen ransomware mensasarkan dan menghapus pangkalan data berasaskan Linux.
  • Setakat ini, kami telah memerhatikan 48 transaksi masuk ke dompet ini dengan jumlah pendapatan sekitar 0.964 bitcoin yang bermaksud 48 mangsa telah membayar kira-kira AS $ 6.000 (pada masa penulisan ini).
  • Namun, tidak ada bukti bahawa wang tebusan yang dibayar telah mengakibatkan pemulihan bagi mangsa.
  • Sebenarnya, kami tidak dapat menemukan bukti adanya fungsi yang memungkinkan pemulihan melalui pembayaran tebusan.
  • Analisis kami menunjukkan kemungkinan ini adalah karya Iron Group, sebuah kumpulan yang secara terbuka dihubungkan dengan kempen ransomware lain termasuk yang menggunakan Sistem Kawalan Jauh (RCS), yang kod sumbernya dipercayai dicuri dari ' HackingTeam 'Pada tahun 2015.

Perlindungan terhadap Xbash

Organisasi boleh menggunakan beberapa teknik dan petua yang diberikan oleh penyelidik Unit 42 untuk melindungi diri mereka dari kemungkinan serangan oleh Xbash:

  1. Menggunakan kata laluan yang kuat dan tidak lalai
  2. Mengemas kini kemas kini keselamatan
  3. Melaksanakan keselamatan titik akhir pada sistem Microsoft Windows dan Linux
  4. Menghalang akses ke hos yang tidak diketahui di internet (untuk mengelakkan akses ke pelayan perintah dan kawalan)
  5. Melaksanakan dan mengekalkan proses dan prosedur sandaran dan pemulihan yang ketat dan berkesan.
Teg linux Tingkap