Yunit 42 Natuklasan ng mga Mananaliksik ang Xbash - Malware Alin ang Sumisira sa Mga Database na Batay sa Linux at Windows

Seguridad / Yunit 42 Natuklasan ng mga Mananaliksik ang Xbash - Malware Alin ang Sumisira sa Mga Database na Batay sa Linux at Windows 2 minuto basahin

Mensahe ng Ransom Na Nilikha ni Xbash sa MySQL Database

Isang bagong malware na kilala bilang ‘ Xbash 'Ay natuklasan ng mga mananaliksik ng Unit 42, isang blog post sa Palo Alto Networks ang iniulat . Ang malware na ito ay natatangi sa lakas ng pag-target nito at nakakaapekto nang sabay-sabay sa mga server ng Microsoft Windows at Linux. Ang mga mananaliksik sa Unit 42 ay nakatali ang malware na ito sa Iron Group na isang grupo ng banta ng aktor na dating kilala sa mga pag-atake ng ransomware.

Ayon sa post sa blog, ang Xbash ay may mga kakayahan sa coinmining, self-propagating at ransonware. Nagtataglay din ito ng ilang mga kakayahan na kapag ipinatupad, ay maaaring paganahin ang malware na kumalat nang medyo mabilis sa loob ng network ng isang samahan, sa mga katulad na paraan tulad ng WannaCry o Petya / NotPetya.

cool fallout 4 na mga wallpaper

Mga Katangian ng Xbash

Sa pagbibigay puna sa mga katangian ng bagong malware, sumulat ang mga mananaliksik ng Unit 42, 'Kamakailan-lamang na ginamit ng Unit 42 ang Palo Alto Networks WildFire upang makilala ang isang bagong pamilyang malware na nagta-target sa mga server ng Linux. Matapos ang karagdagang pagsisiyasat napagtanto namin na ito ay isang kombinasyon ng botnet at ransomware na binuo ng isang aktibong cybercrime group na Iron (aka Rocke) ngayong taon. Pinangalanan namin ang bagong malware na 'Xbash', batay sa pangalan ng orihinal na pangunahing module ng malicious code. '

Dati na naglalayon ang Iron Group sa pagbuo at pagkalat ng pag-hijack ng transaksyon sa cryptocurrency o mga minero ng Trojan na karamihan ay inilaan para sa pag-target sa Microsoft Windows. Gayunpaman, ang Xbash ay naglalayong tuklasin ang lahat ng mga hindi protektadong serbisyo, tinatanggal ang mga database ng MySQL, PostgreSQL at MongoDB ng mga gumagamit, at pantubos para sa Bitcoins. Tatlong kilalang kahinaan na ginagamit ng Xbash para sa paghawa sa Windows Systems ay ang Hadoop, Redis at ActiveMQ.

Pangunahing kumakalat ang Xbash sa pamamagitan ng pag-target sa anumang hindi naipadala na mga kahinaan at mahina na password. Ito ay nakakasira ng data , na nagpapahiwatig na sinisira nito ang mga database na batay sa Linux bilang mga kakayahan sa ransomware. Walang mga pagpapaandar din na naroroon sa loob ng Xbash na ibabalik ang nawasak na data pagkatapos mabayaran ang pantubos.

Taliwas sa nakaraang tanyag na mga botnet ng Linux tulad ng Gafgyt at Mirai, ang Xbash ay isang susunod na antas na Linux botnet na nagpapalawak ng target nito sa mga pampublikong website habang tina-target nito ang mga domain at IP address.

Bumubuo ang Xbash ng listahan ng mga IP address sa subnet ng biktima at nagsasagawa ng pag-scan sa port (Palo Alto Networks)

Mayroong ilang iba pang mga pagtutukoy sa mga kakayahan ng malware:

Nagtataglay ito ng mga kakayahan sa botnet, coinmining, ransomware at self-propagation.
Ini-target nito ang mga system na nakabatay sa Linux para sa mga kakayahan sa ransomware at botnet.
Ini-target nito ang mga system na nakabatay sa Microsoft Windows para sa mga kakayahan nito sa pag-coinmining at paglaganap ng sarili.
Ang mga target na bahagi ng ransomware at tinatanggal ang mga database na nakabatay sa Linux.
Sa ngayon, napagmasdan namin ang 48 mga papasok na transaksyon sa mga wallet na ito na may kabuuang kita na halos 0.964 bitcoins na nangangahulugang 48 na biktima ang nagbayad ng halos US $ 6,000 (sa oras ng pagsulat na ito).
Gayunpaman, walang katibayan na ang mga bayad na bayad ay nagresulta sa paggaling para sa mga biktima.
Sa katunayan, wala kaming makitang katibayan ng anumang pag-andar na ginagawang posible ang pag-recover sa pamamagitan ng pagbabayad ng ransom.
Ipinapakita ng aming pagsusuri na ito ay malamang na gawa ng Iron Group, isang pangkat na publiko na naka-link sa iba pang mga kampanya sa ransomware kabilang ang mga gumagamit ng Remote Control System (RCS), na ang source code ay pinaniniwalaang ninakaw mula sa ' HackingTeam ”Noong 2015.

Proteksyon laban sa Xbash

Ang mga samahan ay maaaring gumamit ng ilang mga diskarte at tip na ibinigay ng mga mananaliksik ng Unit 42 upang maprotektahan ang kanilang sarili mula sa mga posibleng pag-atake ng Xbash:

Gumagamit ng malalakas, hindi default na mga password
Pagpapanatiling napapanahon sa mga pag-update sa seguridad
Pagpapatupad ng seguridad ng endpoint sa mga system ng Microsoft Windows at Linux
Pinipigilan ang pag-access sa hindi kilalang mga host sa internet (upang maiwasan ang pag-access sa mga command at control server)
Pagpapatupad at pagpapanatili ng mahigpit at mabisang proseso ng proseso ng pag-backup at pagpapanumbalik.

Mga tag linux Windows

Yunit 42 Natuklasan ng mga Mananaliksik ang Xbash - Malware Aling Nakakasira sa Mga Database na Batay sa Linux at Windows

Mga Katangian ng Xbash

Proteksyon laban sa Xbash

Mga Kategorya

Patok Na Mga Post

Xiaomi Mi 9 Darating sa Buong Mundo Ayon sa Mga Ulat, Pagbubukas ng Kumpanya ng Kumpanya sa Higit Pang Mga Merkado

Itinapon ng Google ang Lot nito gamit ang Linux na nakabase sa KaiOS Project upang Ituon sa Mga Umuusbong na Market

Paano Mag-reset ng Pabrika ng HP Laptop sa Default na Estado nito

Paano Patakbuhin ang Task Manager bilang Administrator para sa isang Karaniwang User

Ang KMS ba ay naiiba sa KMSL?

Gabay sa Adventure Capitalist 2017

FIX: SYSTEM_SERVICE_EXCEPTION (win32kbase.sys)

Paano Magtalaga ng Isang Ringtone Sa Isang Tiyak na Pakikipag-ugnay Sa Android

Maaaring pahintulutan ng Trusted Recursive Resolver (TRR) ng Firefox ang Cloudflare at Pamahalaang US na Mag-spy sa iyong Aktibidad sa Pag-browse

Fix: Nabigo ang DllRegisterServer na may error code 0x80070005

Ang Borderlands 2 Hits 60k Mga Kasabay na Manlalaro sa Steam, Nasisira Sa Nangungunang 5 Pinaka-Pinatugtog na Laro

28C / 56T Xeon W-3175X Pagbebenta ng Retail na Kumpirmadong Sa $ 3000 USD, Sinusuportahan ang Asus Dominus Extreme Motherboard Presyo Sa $ 1800 USD

Ayusin: WOW.DLL ay tumigil sa pagtatrabaho sa Windows 7

Ano ang 'The Forest is Moving' at 'The Ground is Shaking' Event sa Valheim

FIX: Error sa Pag-update ng Annibersaryo ng Windows 10 0x1900101-0x30018 'Phase ng FIRST_BOOT'

Ayusin: Nabigong Mag-load ng Twitch ng Modyul

Paano Ayusin ang Error ng Lenovo Error 'Detection Error sa HDD0 (Pangunahing HDD)'

Naniniwala ang Microsoft na May Infrastructure ang Google Upang Suportahan ang Stadia Ngunit Mahusay na Eksklusibo ang Susi sa Tagumpay sa industriya

Susunod-Gen AMD Ryzen 5000 Mga Desktop ng CPU Upang Suportahan ang DDR5 RAM, USB 4.0 Sa AM5 Platform Na Pagdating Sa 2022?

Ipinagpatuloy ng Microsoft ang Translator App para sa Windows 8.1

Paano: Itago ang Impormasyon sa Pag-login Mula sa Windows 10 Login Screen

I-update ang KB4468550 Mga Pag-aayos ng Mga Isyu sa Audio na Sanhi sa Windows 10 Oktubre Patch

Ano ang File na 'WOW64.dll' at Dapat Ito ay Tanggalin?

Paano Ayusin ang Rocket League na hindi Kinikilala ang Controller

Patok Na Mga Post

Inirerekumendang