可删除数据库!勒索挖矿病毒Xbash
近日,海外出现一款针对Linux和Windows服务器的新型恶意样本Xbash。Xbash拥有勒索病毒和挖矿病毒两种不同核心功能,同时它还具备自我传播的功能。值得注意的是,Xbash会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。
病毒名称:Xbash
病毒性质:勒索病毒与挖矿病毒
危害等级:高危
传播方式:弱密码攻击及漏洞利用
病毒分析
病毒描述
Xbash主要通过攻击弱密码和未修补的漏洞进行传播,利用的漏洞类型包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、Redis任意文件写入和远程命令执行漏洞。
值得注意的是,与其说Xbash是一款勒索软件,倒不如说它是一个数据擦除器。也就是说,它会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。
此外,相比Wannacry基本覆盖了Windows PC版和服务器版各个操作系统版本,Xbash攻击目标的针对性更强,更多的是针对Web服务器、数据库服务器这些承载高价值数据的服务器。目前主要是存在弱密码和未授权漏洞的服务器容易受Xbash。
样本分析
Xbash用Python语言进行开发编写,然后再转化为PE文件,主要是为了做免杀处理,同时也具备跨平台的特性。
获取公网IP地址段,然后对相应的WEB服务端口进行扫描,如下图所示:
扫描的端口服务列表如下:
HTTP:8088,8000,8080,80
VNC:5900,5901,5902,9900,9901,9902
RDP:3389
Oracle:1521
Rsync:873
Mssql:1433
Mysql:306
Postgresql:5432
Redis:6379,7379
Elasticsearch:9200
Memcached:11211
Mongodb:27017
接下来,Xbash使用内置的弱用户名和密码字典,暴力破解登录相应的服务,包括Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis。
如果成功登录到MySQL,MongoDB,PostgreSQL等WEB服务,会删除服务器中的数据库,然后创建一个勒索信息的新的数据库,并写入一条勒索信息到新的数据库表中。
在内网中,Xbash利用几个相关漏洞可进行快速传播。包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、以及Redis任意文件写入和远程命令执行漏洞。
Xbash利用 ActiveMQ任意文件写入漏洞
此外,Xbash写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,先kill掉其它的Linux系统下的各种挖矿家族,然后再下载执行自己的挖矿程序。
解决方案
1、更改账户密码,设置强密码,避免使用统一的密码。
2、某公司防火墙和安全感知,已支持针对Xbash的流量检测,升级僵尸网络识别库到UTM20180919及以上版本 ,可进行封堵!
l 某公司下一代防火墙配置僵尸网络防护功能步骤:
确认“IPS漏洞特征识别库”和“僵尸网络识别库”版本。要求:
ü IPS漏洞特征识别库当前版本日期:2018-09-12
ü 僵尸网络识别库当前版本日期:2018-09-19
1) 查看位置:【系统】—【系统维护】—【系统更新】—【库升级】,如下图:
2) 服务器和上网主机,均开启僵尸网络防护功能,需要针对服务器和上网主机分别开启,具体参照如下:
Ø 服务器网段开启僵尸网络防护功能:
Ø 上网终端网段开启僵尸网络防护功能:
l 某公司SIP配置僵尸网络防护功能步骤:
1) SIP配置,更新威胁情报库到2018年9月20号的IOC情报库(预计9月21日后可更新)。
2) 在【终端管理】—【安全策略】—【安全策略设置】勾选“开启僵尸网络实时监测”,选择自动隔离文件,当识别检测出僵尸网络行为时自动隔离文件。
3、Xbash会特意针对Web站点进行攻击,推荐使用某公司防火墙的Web应用
防护功能进行防护。服务器开启WEB应用防护功能,具体参照如下:
4、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
l 某公司下一代防火墙防爆破功能步骤:
1) 服务器开启漏洞攻击防护功能,针对暴力破解和漏洞进行防护;打开【策
略】—【安全防护策略】,新增“业务防护策略”,开启“漏洞攻击防护”功能,具体参照下图:
l 某公司EDR防爆破功能步骤:
1) 暴力破解开启可以防御RDP暴力破解;【终端管理】—【安全策略】—
【安全策略设置】,新增一条防暴力破解策略或者修改已经配置的策略,分为
windows和linux。
2) 打开windows系统配置安全设置中的“开启暴力破解实时检测”。
3) 打开对应的终端组进行关联;【终端管理】—【安全策略】—【安全策
略应用】,在对应的终端组右侧的“配置策略”选择上一步中配置了暴力破解的安全策略。关联后可以生效。
5、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
6、某公司为广大用户免费提供病毒查杀工具,用户可下载此工具,进行病毒查杀。
点击附件查看详情》》