勒索、挖礦、殭屍網路三合一惡意軟體
Windows和Linux作業系統的使用者需要注意,最新發現了一種針對這2種作業系統的新型惡意軟體XBash,該惡意軟體具有勒索、挖礦、殭屍網路的3種功能。從目前的資訊推斷,該惡意軟體由中國的黑客組織Iron Group,也被稱為Rocke開發,該黑客組織之前曾涉及勒索軟體和挖礦惡意軟體的攻擊行為。
根據網路安全商Palo Alto Networks的資訊,這些新型惡意軟體具有3合1的功能,可以在區域網內快速傳播。該惡意軟體使用Python語言開發,會自動搜尋未受保護的網路服務並刪除在Linux伺服器上執行的SQL/">MySQL, PostgreSQL, MongoDB資料庫檔案。
注意:支付贖金也彌補不了
Xbash一直以來被看作是埠掃描工具,用於TCP, UDP, HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin, PostgreSQL等網路埠的掃描,一旦發現了未受保護的網路埠,該惡意軟體便會使用弱使用者名稱和密碼進行暴力字典攻擊,成功登入後便會刪除刪除資料庫檔案並留下勒索檔案。該惡意軟體在使用者支付贖金前不會具有任何資料恢復功能。
目前為止已有48位受害者受到了攻擊,並已向黑客支付了約6000美元的贖金,但是還沒有發現黑客恢復使用者資料的證據。該惡意軟體針對Linux作業系統還具有殭屍網路的傳播危害。
XBash針對Windows作業系統主要危害是數字貨幣挖礦和利用Hadoop, Redis, ActiveMQ軟體漏洞進行自主傳播:
1、Hadoop YARN ResourceManager在2016年10月出現了一個未經授權的命令列執行漏洞,但沒有正式漏洞編號。
2、Redis在2015年10月被發現具有遠端命令列執行漏洞和相關檔案漏洞,但沒有正式漏洞編號。
3、ActiveMQ在2016年上半年被發現一個編號為CVE-2016-3088檔案許可權漏洞。
Xbash在Windows作業系統中一旦找到具有漏洞的檔案,就會遠端下載惡意JavaScript或VBScript並開啟電子貨幣挖礦程式視窗。而且由於Xbash用Python編寫,可以使用PyInstaller將它轉換成PE移動執行檔案,就可以跨平臺傳播惡意程式還不會被殺軟檢測。截至本文釋出,只有在Linux平臺上發現了該惡意軟體的身影,Windows和MacOS平臺尚未發現。
使用者可以按照以下的步驟檢查並防禦XBash:
1、更改系統登入密碼
2、使用強壯密碼
3、及時更新作業系統
4、不要輕易點選連結或下載/開啟未知檔案
5、定期備份資料
6、使用防火牆防禦網絡流量