1、基本情况

　　国外威胁研究团队发现了一个针对Linux和Windows服务器的新型恶意软件家族，并将其命名为“Xbash”。 

　　Xbash是一个僵尸网络和勒索软件的结合体，具有自我传播的功能，类似于WannaCry或Petya/NotPetya所展现的蠕虫特性。另外，它还具有一些尚未启用的功能，这些功能在启用之后将允许Xbash能够在目标网络中快速传播，而这一点同样类似于WannaCry或Petya/NotPetya。

　　值得注意的是，与其说Xbash是一款勒索软件，倒不如说它是一个数据擦除器。在这一点上，它与NotPetya非常类似。也就是说，它会对受害者数据造成永久性的破坏，即使是受害者支付赎金，这些数据也不可能得到恢复。

　　2、攻击原理

　　Xbash会基于域名和IP地址来进行扫描。如果扫描的是IP地址，那么它将尝试扫描众多TCP或UDP端口，以下是其中一部分：

　　HTTP: 80, 8080, 8888, 8000, 8001, 8088

　　VNC: 5900, 5901, 5902, 5903

　　MySQL: 3306

　　Memcached: 11211

　　MySQL/MariaDB: 3309, 3308,3360 3306, 3307, 9806, 1433

　　FTP: 21

　　Telnet: 23, 2323

　　PostgreSQL: 5432

　　Redis: 6379, 2379

　　ElasticSearch: 9200

　　MongoDB: 27017

　　RDP: 3389

　　UPnP/SSDP: 1900

　　NTP: 123

　　DNS: 53

　　SNMP: 161

　　LDAP: 389

　　Rexec: 512

　　Rlogin: 513

　　Rsh: 514

　　Rsync: 873

　　Oracle database: 1521

　　CouchDB: 5984

　　对于某些服务，如VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin，如果相关端口是打开的，那么Xbash将使用内置的弱用户名/密码字典来尝试登录这些服务。其中，字典还包含Telnet、FTP和Redis等服务的通用或默认密码。

　　如果Xbash成功登录到了包括MySQL、MongoDB和PostgreSQL在内的服务，它将清空服务器中几乎所有现有数据库（除了存储用户登录信息的一些数据库），然后创建一个名为“PLEASE_READ_ME_XYZ”的新数据库，并插入一个名为“WARNING”的新表，用于显示勒索信息。

　　3、影响范围

　　运行Linux和Windows操作系统的服务器。

　　4、处置建议

　　Xbash是一种相对较新且较复杂的恶意软件，也是一个活跃的网络犯罪组织的最新作品。它目前能够针对Linux和Windows系统实施攻击，但鉴于PyInstaller的使用，我们并不排除未来会有针对其他系统的版本出现。

　　想要避免或减轻Xbash所带来的危害，我们可以采取以下措施：

　　1) 使用相对复杂的密码，并经常更新（切记不要使用默认密码）；

　　2) 及时了解系统安全更新；

　　3) 在操作系统上实施端点保护；

　　4) 严格限制某些服务的联网访问权限；

　　5) 对关键数据进行备份。

　　5、参考链接

　　https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/