安全漏洞预警通告-Xbash勒索软件预警
来源: 发布时间:2018-09-21
1、基本情况
国外威胁研究团队发现了一个针对Linux和Windows服务器的新型恶意软件家族,并将其命名为“Xbash”。
Xbash是一个僵尸网络和勒索软件的结合体,具有自我传播的功能,类似于WannaCry或Petya/NotPetya所展现的蠕虫特性。另外,它还具有一些尚未启用的功能,这些功能在启用之后将允许Xbash能够在目标网络中快速传播,而这一点同样类似于WannaCry或Petya/NotPetya。
值得注意的是,与其说Xbash是一款勒索软件,倒不如说它是一个数据擦除器。在这一点上,它与NotPetya非常类似。也就是说,它会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。
2、攻击原理
Xbash会基于域名和IP地址来进行扫描。如果扫描的是IP地址,那么它将尝试扫描众多TCP或UDP端口,以下是其中一部分:
HTTP: 80, 8080, 8888, 8000, 8001, 8088
VNC: 5900, 5901, 5902, 5903
MySQL: 3306
Memcached: 11211
MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433
FTP: 21
Telnet: 23, 2323
PostgreSQL: 5432
Redis: 6379, 2379
ElasticSearch: 9200
MongoDB: 27017
RDP: 3389
UPnP/SSDP: 1900
NTP: 123
DNS: 53
SNMP: 161
LDAP: 389
Rexec: 512
Rlogin: 513
Rsh: 514
Rsync: 873
Oracle database: 1521
CouchDB: 5984
对于某些服务,如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin,如果相关端口是打开的,那么Xbash将使用内置的弱用户名/密码字典来尝试登录这些服务。其中,字典还包含Telnet、FTP和Redis等服务的通用或默认密码。
如果Xbash成功登录到了包括MySQL、MongoDB和PostgreSQL在内的服务,它将清空服务器中几乎所有现有数据库(除了存储用户登录信息的一些数据库),然后创建一个名为“PLEASE_READ_ME_XYZ”的新数据库,并插入一个名为“WARNING”的新表,用于显示勒索信息。
3、影响范围
运行Linux和Windows操作系统的服务器。
4、处置建议
Xbash是一种相对较新且较复杂的恶意软件,也是一个活跃的网络犯罪组织的最新作品。它目前能够针对Linux和Windows系统实施攻击,但鉴于PyInstaller的使用,我们并不排除未来会有针对其他系统的版本出现。
想要避免或减轻Xbash所带来的危害,我们可以采取以下措施:
1) 使用相对复杂的密码,并经常更新(切记不要使用默认密码);
2) 及时了解系统安全更新;
3) 在操作系统上实施端点保护;
4) 严格限制某些服务的联网访问权限;
5) 对关键数据进行备份。
5、参考链接
https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/