近期,海外出现一款针对Linux和Windows服务器的新型恶意样本Xbash,它拥有勒索病毒和挖矿病毒两种不同核心功能,同时还具备自我传播的功能。值得注意的是,Xbash会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。目前暂未收到国内有感染该病毒的事件,但用户仍然需要注意防范此种恶性病毒。

安全狗海青实验室在了解到该病毒爆发的信息后,根据现有的信息对该病毒进行了一定的研究和分析,并出具了这份预警报告,请用户知悉。

传播途径

Xbash主要通过攻击弱密码和未修补的漏洞进行传播,利用的漏洞类型包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、Redis任意文件写入和远程命令执行漏洞。

基本行为

就Xbash的行为而言,相比于勒索软件,它更接近于数据擦除器。在入侵后,该恶意病毒会擦除数据库原有的信息并写入勒索信息,造成勒索的假象,实际上受害者的数据库早已永久性被破坏了,即使是受害者支付赎金,这些数据也不可能得到恢复,这是赤裸裸的欺诈行为。

此外,相比Wannacry基本覆盖了Windows PC版和服务器版各个操作系统版本的情形,Xbash攻击目标的针对性更强,主要是针对Web服务器、数据库服务器这些承载高价值数据的服务器,目前大部分存在弱密码和未授权漏洞的服务器容易遭受感染。

深入分析

Xbash用Python语言进行开发编写,然后再转化为PE文件,主要是为了做免杀处理,同时也具备跨平台的特性。

获取公网IP地址段,然后对相应的WEB服务端口进行扫描,如下图所示:

扫描的端口服务列表如下:

HTTP:8088,8000,8080,80

VNC:5900,5901,5902,9900,9901,9902

Oracle:1521

Postgresql:5432

Redis:6379,7379

Elasticsearch:9200

Memcached:11211

Mongodb:27017

接下来,Xbash使用内置的弱用户名和密码字典,暴力破解登录相应的服务,包括Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis。

如果成功登录到MySQL,MongoDB,PostgreSQL等WEB服务,会删除服务器中的数据库,然后创建一个勒索信息的新的数据库,并写入一条勒索信息到新的数据库表中。

在内网中,Xbash利用几个相关漏洞可进行快速传播。包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、以及Redis任意文件写入和远程命令执行漏洞。

Xbash利用 ActiveMQ任意文件写入漏洞

此外,Xbash写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,先kill掉其它的Linux系统下的各种挖矿家族,然后再下载执行自己的挖矿程序。

检测、预防与恢复

针对该病毒,我们建议用户可以采取以下的方式来应对。

事前防御

1、检测并修复弱口令

2、制定严格的端口管理策略

3、设置防爆破策略

4、一键更新漏洞补丁

事中实时防御与监控

1、阻止对关键注册表的篡改

2、阻止进程创建异常进程

3、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。

往期精彩文章: