本站使用 Cookies,继续浏览表示您同意我们使用 Cookies。 Cookies 和隐私政策

  • 2018-10-29

可删除数据库!勒索挖矿病毒Xbash

近日,海外出现一款针对Linux和Windows服务器的新型恶意样本Xbash。Xbash拥有勒索病毒和挖矿病毒两种不同核心功能,同时它还具备自我传播的功能。值得注意的是,Xbash会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。

病毒名称:Xbash
病毒性质:勒索病毒与挖矿病毒
危害等级:高危
传播方式:弱密码攻击及漏洞利用

病毒分析

病毒描述


Xbash主要通过攻击弱密码和未修补的漏洞进行传播,利用的漏洞类型包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、Redis任意文件写入和远程命令执行漏洞。


值得注意的是,与其说Xbash是一款勒索软件,倒不如说它是一个数据擦除器。也就是说,它会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。

此外,相比Wannacry基本覆盖了Windows PC版和服务器版各个操作系统版本,Xbash攻击目标的针对性更强,更多的是针对Web服务器、数据库服务器这些承载高价值数据的服务器。目前主要是存在弱密码和未授权漏洞的服务器容易受Xbash。

样本分析



Xbash用Python语言进行开发编写,然后再转化为PE文件,主要是为了做免杀处理,同时也具备跨平台的特性。

Xbash用https://ejectrift.censys.xyz/cidir


获取公网IP地址段,然后对相应的WEB服务端口进行扫描,如下图所示:

 

勒索挖矿病毒Xbash

扫描的端口服务列表如下:

HTTP:8088,8000,8080,80

VNC:5900,5901,5902,9900,9901,9902

RDP:3389

Oracle:1521

Rsync:873

Mssql:1433

Mysql:306

Postgresql:5432

Redis:6379,7379

Elasticsearch:9200

Memcached:11211

Mongodb:27017

接下来,Xbash使用内置的弱用户名和密码字典,暴力破解登录相应的服务,包括Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis。

如果成功登录到MySQL,MongoDB,PostgreSQL等WEB服务,会删除服务器中的数据库,然后创建一个勒索信息的新的数据库,并写入一条勒索信息到新的数据库表中。

在内网中,Xbash利用几个相关漏洞可进行快速传播。包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、以及Redis任意文件写入和远程命令执行漏洞。

Xbash利用 ActiveMQ任意文件写入漏洞
Xbash利用 ActiveMQ任意文件写入漏洞

此外,Xbash写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,先kill掉其它的Linux系统下的各种挖矿家族,然后再下载执行自己的挖矿程序。

解决方案


  • 更改账户密码,设置强密码,避免使用统一的密码。

  • 深信服防火墙安全感知,已支持针对Xbash的流量检测,升级僵尸网络识别库到UTM20180919及以上版本 ,可进行封堵!

  • Xbash会特意针对Web站点进行攻击,推荐使用深信服防火墙的Web应用防护功能进行防护。

  • 深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

  • 建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

  • 深信服为广大用户免费提供病毒查杀工具,用户可下载此工具,进行病毒查杀。https://edr.sangfor.com.cn/tool/SfabAntiBot.zip