XBash malver – kombinacija ransomwarea, minera i botneta
Korisnici Windowsa i Linuxa, budite oprezni!
Pojavio se novi destruktivni all-in-one malver koji napada Windows i Linux. Malver ima karakteristike ransomwarea, minera za rudarenje kripto valuta, botneta i crva. Xbash malver se povezuje sa kineskom APT grupom koja ima nazive Iron Group i Rocke. Grupa je od ranije poznata po sajber napadima kao što su ransomware i rudarenje kripto valuta.
Malver su otkrili istraživači iz kompanije Palo Alto Networks. Oni navode da je XBash malver koji kombinuje karakteristike ransomwara i minera kripto valuta, kao i crva poput WannaCry ili Petya/NotPetya. Pored sposobnosti razmnožavanja, malver ima i sposobnost (koja još nije implementirana) brzog širenja u mreži organizacije.
XBash je napisan u Pythonu i traži ranjive ili nezaštićene web servise i briše baze podataka poput MySQL, PostgreSQL i MongoDB na Linux serverima.
Plaćanje otkupnine neće vratiti vaše fajlove
XBash skenira servise na ciljanoj IP adresi, i na TCP i UDP portovima poput HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin i PostgreSQL. Kada pronađe otvoren port, malver izvodi napad pomoću baze potencijalnih lozinki (eng. dictionary attack) gde eksploatiše slabe kredencijale (korisničko ime i lozinku), a zatim dospeva u ranjivi servis. Nakon toga, malver briše sve baze podataka i prikazuje poruku o otkupnini.
Potencijalne žrtve bi trebalo da znaju da malver nema funkcionalnost koja bi omogućila vraćanje obrisanih podataka nakon plaćanja otkupnine. Do sada je najmanje 48 žrtava ovog malvera platilo otkupninu, ali nisu dobili nazad svoje podatke. Plaćanje otkupnine napadačima se i inače ne preporučuje (jer to podstiče širenje ransomware aktivnosti), a u slučaju XBash malvera je i potpuno uzaludno. Malver ima i sposobnost da doda Linux uređaje u botnet.
XBash eksploatiše ranjivosti u Hadoop, Redis i ActiveMQ
Što se tiče Windows uređaja, XBash malver ih koristi samo za rudarenje kripto valuta i razmnožavanje. Za razmnožavanje eksploatiše tri poznate ranjivosti u Hadoop, Redis i ActiveMQ:
- Hadoop YARN ResourceManager ranjivost sa neautentifikovanim izvršenjem komandi, koja je otkrivena u oktobru 2016. i koja nema CVE broj.
- Redis ranjivost arbitrarnog zapisa u fajlovima i ranjivost daljinskog izvršenja komande, koji su otkriveni u oktobru 2015. i nemaju CVE broj.
- ActiveMQ ranjivost arbitrarnog zapisa u fajlovima, CVE-2016-3088 ranjivost koja je oktrivena 2016. godine.
Ukoliko je ulazna tačka ranjivi Redis servis, XBash šalje maliciozni JavaScript ili VBScript payload kojim se downloaduje i izvršava coinminer za Windows umesto botnet i ransomware modula.
Xbash je napisan u Pythonu, a zatim konvertovan u Portable Executable (PE) pomoću PyInstaller, koji može da napravi binary fajlove za više platformi, uključujući Windows, Apple macOS i Linux, a ima i mehanizme anti-detekcije.
Kako se zaštititi?
Odbrana od XBash malvera zahteva primenu osnovnih sajber bezbednosnih preporuka:
- Promenite default login kredencijale na vašem sistemu.
- Koristite jake i jedinstvene lozinke.
- Redovno ažurirajte OS i softver.
- Nemojte downloadovati ni pokretati fajlove iz nebezbednih izvora.
- Nemojte otvarati sumnjive linkove i linkove iz nebezbednih izvora.
- Redovno vršite backup svojih podataka.
- Koristite firewall da sprečite neautorizovane konekcije.
Izvor: The Hacker News