可删除数据库!勒索挖矿病毒Xbash(内附解决方案)
  

SANGFOR_智安全 10143

{{ttag.title}}
可删除数据库!勒索挖矿病毒Xbash
近日,海外出现一款针对Linux和Windows服务器的新型恶意样本Xbash。Xbash拥有勒索病毒和挖矿病毒两种不同核心功能,同时它还具备自我传播的功能。值得注意的是,Xbash会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。
病毒名称Xbash
病毒性质勒索病毒与挖矿病毒
危害等级高危
传播方式弱密码攻击及漏洞利用
病毒分析
病毒描述
Xbash主要通过攻击弱密码和未修补的漏洞进行传播,利用的漏洞类型包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、Redis任意文件写入和远程命令执行漏洞。
值得注意的是,与其说Xbash是一款勒索软件,倒不如说它是一个数据擦除器。也就是说,它会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。
此外,相比Wannacry基本覆盖了Windows PC版和服务器版各个操作系统版本,Xbash攻击目标的针对性更强,更多的是针对Web服务器、数据库服务器这些承载高价值数据的服务器。目前主要是存在弱密码和未授权漏洞的服务器容易受Xbash。
样本分析
Xbash用Python语言进行开发编写,然后再转化为PE文件,主要是为了做免杀处理,同时也具备跨平台的特性。
获取公网IP地址段,然后对相应的WEB服务端口进行扫描,如下图所示:
图片1.jpg
扫描的端口服务列表如下:
HTTP:8088,8000,8080,80
VNC:5900,5901,5902,9900,9901,9902
RDP:3389
Oracle:1521
Rsync:873
Mssql:1433
Mysql:306
Postgresql:5432
Redis:6379,7379
Elasticsearch:9200
Memcached:11211
Mongodb:27017
接下来,Xbash使用内置的弱用户名和密码字典,暴力破解登录相应的服务,包括Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis。
如果成功登录到MySQL,MongoDB,PostgreSQL等WEB服务,会删除服务器中的数据库,然后创建一个勒索信息的新的数据库,并写入一条勒索信息到新的数据库表中。
在内网中,Xbash利用几个相关漏洞可进行快速传播。包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、以及Redis任意文件写入和远程命令执行漏洞。
图片2.jpg
Xbash利用 ActiveMQ任意文件写入漏洞
此外,Xbash写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,先kill掉其它的Linux系统下的各种挖矿家族,然后再下载执行自己的挖矿程序。
解决方案
1、更改账户密码,设置强密码,避免使用统一的密码。
2、某公司防火墙和安全感知,已支持针对Xbash的流量检测,升级僵尸网络识别库到UTM20180919及以上版本 ,可进行封堵!
l 某公司下一代防火墙配置僵尸网络防护功能步骤:
确认“IPS漏洞特征识别库”和“僵尸网络识别库”版本。要求:
ü IPS漏洞特征识别库当前版本日期:2018-09-12
ü 僵尸网络识别库当前版本日期:2018-09-19
1) 查看位置:【系统】—【系统维护】—【系统更新】—【库升级】,如下图:
图片3.png
2) 服务器和上网主机,均开启僵尸网络防护功能,需要针对服务器和上网主机分别开启,具体参照如下:
Ø 服务器网段开启僵尸网络防护功能:
图片4.png

图片5.png
Ø 上网终端网段开启僵尸网络防护功能:
图片6.png

图片7.png
l 某公司SIP配置僵尸网络防护功能步骤:
1) SIP配置,更新威胁情报库到2018年9月20号的IOC情报库(预计9月21日后可更新)。
2) 在【终端管理】—【安全策略】—【安全策略设置】勾选“开启僵尸网络实时监测”,选择自动隔离文件,当识别检测出僵尸网络行为时自动隔离文件。
图片8.png
3、Xbash会特意针对Web站点进行攻击,推荐使用某公司防火墙的Web应用
防护功能进行防护。服务器开启WEB应用防护功能,具体参照如下:
图片9.png
图片10.png
4、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
l 某公司下一代防火墙防爆破功能步骤:
1) 服务器开启漏洞攻击防护功能,针对暴力破解和漏洞进行防护;打开【策
略】—【安全防护策略】,新增“业务防护策略”,开启漏洞攻击防护”功能,具体参照下图:
图片11.png
图片12.png
l 某公司EDR防爆破功能步骤:
1) 暴力破解开启可以防御RDP暴力破解;【终端管理】—【安全策略】—
【安全策略设置】,新增一条防暴力破解策略或者修改已经配置的策略,分为
windows和linux。
图片13.png
2) 打开windows系统配置安全设置中的“开启暴力破解实时检测”。
图片14.png
3) 打开对应的终端组进行关联;【终端管理】—【安全策略】—【安全策
略应用】,在对应的终端组右侧的“配置策略”选择上一步中配置了暴力破解的安全策略。关联后可以生效。
图片15.png
5、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
6、某公司为广大用户免费提供病毒查杀工具,用户可下载此工具,进行病毒查杀。
点击附件查看详情》》
【解决方案版】可删除数据库!勒索挖矿病毒Xbash.docx (1.71 MB, 下载次数: 92)

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

新手650001 发表于 2018-9-22 16:20
  
沙发,备用
追与 发表于 2018-9-23 17:45
  
收藏,备用
暗夜星空 发表于 2018-9-24 08:55
  
收藏,以防万一
弓长湿兄 发表于 2018-9-25 09:58
  
学习。。。。。。。。。。。。。。。。。。
大欣欣 发表于 2018-9-25 16:31
  
:加油:学习了
studying 发表于 2018-9-26 18:47
  
ENENNE   学习
听慢歌 发表于 2018-9-28 08:26
  
很好学习了。
zl113x 发表于 2018-9-28 13:47
  
强!!!学习了
wyh 发表于 2018-9-30 08:41
  
收藏,以防万一
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

217
272
151

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人