42. nodaļa Pētnieki atklāj Xbash - ļaunprātīgu programmatūru, kas iznīcina Linux un Windows bāzes datu bāzes

Drošība / 42. nodaļa Pētnieki atklāj Xbash - ļaunprātīgu programmatūru, kas iznīcina Linux un Windows bāzes datu bāzes 2 minūtes lasīts

Ransom ziņojumu izveidoja Xbash MySQL datu bāzē

Jauna ļaunprātīga programmatūra, kas pazīstama kā Xbash ”Ir atklājuši 42. vienības pētnieki, ziņots par emuāra ziņojumu vietnē Palo Alto Networks . Šī ļaunprātīgā programmatūra ir unikāla ar savu mērķauditoriju un vienlaikus ietekmē Microsoft Windows un Linux serverus. 42. bloka pētnieki ir saistījuši šo ļaunprātīgo programmatūru ar Iron Group, kas ir draudu dalībnieku grupa, kas iepriekš bija pazīstama ar uzbrukumiem ransomware.

Saskaņā ar emuāra ierakstu Xbash ir monētu ieguves, pašpavairošanas un izpirkšanas programmatūras iespējas. Tam ir arī dažas iespējas, kas tiek ieviestas, var ļaut ļaunprātīgai programmatūrai diezgan ātri izplatīties organizācijas tīklā, līdzīgi kā WannaCry vai Petya / NotPetya.

hamachi serveris apstājās

Xbash raksturojums

Komentējot šīs jaunās ļaunprātīgās programmatūras īpašības, 42. nodaļas pētnieki rakstīja: “Nesen 42. vienība izmantoja Palo Alto Networks WildFire, lai identificētu jaunu ļaunprogrammatūru saimi, kuras mērķis ir Linux serveri. Pēc turpmākas izmeklēšanas mēs sapratām, ka tas ir robottīkla un izpirkuma programmatūras apvienojums, kuru šogad izstrādāja aktīvā kibernoziegumu grupa Iron (aka Rocke). Šo jauno ļaunprātīgo programmatūru mēs nosaucām par “Xbash”, pamatojoties uz ļaunprātīgā koda sākotnējā galvenā moduļa nosaukumu. ”

Iron Group iepriekš mērķis bija attīstīt un izplatīt kriptovalūtas darījumu nolaupīšanu vai kalnraču Trojas zirgus, kas galvenokārt bija paredzēti mērķauditorijas atlasei Microsoft Windows. Tomēr Xbash mērķis ir atklāt visus neaizsargātos pakalpojumus, dzēst lietotāju MySQL, PostgreSQL un MongoDB datubāzes un izpirkt Bitcoins. Trīs zināmās ievainojamības, kuras Xbash izmanto Windows sistēmu inficēšanai, ir Hadoop, Redis un ActiveMQ.

Xbash galvenokārt izplatās, mērķējot uz visām neatklātajām ievainojamībām un vājām parolēm. Tas ir datus iznīcinoši , kas nozīmē, ka tas iznīcina Linux bāzes datubāzes kā savas izpirkuma programmatūras iespējas. Xbash arī nav funkciju, kas atjaunotu iznīcinātos datus pēc izpirkuma maksas atmaksāšanas.

Atšķirībā no iepriekšējiem slavenajiem Linux robottīkliem, piemēram, Gafgyt un Mirai, Xbash ir nākamā līmeņa Linux robottīkls, kas paplašina savu mērķi uz publiskām vietnēm, jo tas ir domēns domēniem un IP adresēm.

Xbash ģenerē IP adrešu sarakstu upura apakštīklā un veic ostu skenēšanu (Palo Alto Networks)

Ļaunprātīgas programmatūras iespējām ir vēl dažas specifiskas iezīmes:

Tam ir robottīkls, monētu kalšanas, izpirkuma programmatūras un pašpavairošanas iespējas.
Tā mērķauditorija ir Linux balstītas sistēmas pēc izpirkuma programmatūras un robottīklu iespējām.
Tā mērķauditorija ir Microsoft Windows balstītas sistēmas, lai iegūtu monētu ieguves un pašpavairošanas iespējas.
Atpirkšanas programmatūras komponents ir paredzēts un izdzēš Linux bāzes datubāzes.
Līdz šim mēs esam novērojuši 48 ienākošos darījumus ar šiem seifiem ar kopējiem ienākumiem aptuveni 0,964 bitcoīnos, kas nozīmē, ka 48 upuri ir samaksājuši apmēram USD 6000 (šī raksta tapšanas laikā).
Tomēr nav pierādījumu, ka apmaksātie izpirkumi būtu upuru atveseļošanās rezultātā.
Patiesībā mēs nevaram atrast pierādījumus par funkcionalitāti, kas ļautu atgūt, izmantojot izpirkuma maksu.
Mūsu analīze rāda, ka tas, iespējams, ir Iron Group darbs - grupa, kas ir publiski saistīta ar citām ransomware kampaņām, tostarp tām, kas izmanto tālvadības sistēmu (RCS), kuras avota kods tika uzskatīts par nozagtu no “ Datorurķēšana ”2015. gadā.

Aizsardzība pret Xbash

Organizācijas var izmantot dažus 42. nodaļas pētnieku sniegtos paņēmienus un padomus, lai pasargātu sevi no iespējamiem Xbash uzbrukumiem:

Izmantojot spēcīgas, noklusējuma paroles
Drošības atjauninājumu atjaunināšana
Galapunkta drošības ieviešana Microsoft Windows un Linux sistēmās
Piekļuves novēršana nezināmiem resursdatoriem internetā (lai novērstu piekļuvi komandu un vadības serveriem)
Stingru un efektīvu dublēšanas un atjaunošanas procesu un procedūru ieviešana un uzturēšana.

Tagi Linux Windows

42. nodaļa Pētnieki atklāj Xbash - ļaunprātīgu programmatūru, kas iznīcina Linux un Windows bāzes datu bāzes

Xbash raksturojums

Aizsardzība pret Xbash

Kategorijas

Populārākas Posts

Apple iPhone 12 jaunākais 5nm A14 SoC ražošanas process ir aizkavēts palaist sešus mēnešus, bet Huawei ir ceļā?

OnePlus un McLaren, iespējams, ir mierīgi pārtraukuši partnerattiecības

Labojums: Facebook pašlaik nevar apstrādāt šo pieprasījumu.

Kas ir ‘Saraksta indekss ārpus diapazona’

Labojums: Warframe tīkls nereaģē

Horizon Zero Dawn PC ports, lai atbalstītu īpaši platus displejus, Dynamic Foliage un daudz ko citu

Kā salabot virsmas grāmatu tastatūru, kas nedarbojas

Rumānijas mazumtirgotājs “nejauši” izlaiž OnePlus Nord cenu, izmantojot sarakstu

Labojums: MSI True Color nedarbojas

Labojums: PS4 ventilatoru skaļi

[FIX] Apvienot spraudņus “Piekļuves pārkāpums”

Operētājsistēmas Windows 10X noplūde apstiprina, ka Microsoft slepeni strādā pie File Explorer būtiskas pārskatīšanas

Kā novērst COD Advanced Warfare ‘Error Code 8224’

Kā nopirkt labāko planšetdatoru par savu naudu

Kā: atinstalēt AVG, izmantojot AVG noņemšanas rīku

Kā aizsargāt Windows no Dnsmasq ievainojamībām?

Kā salabot kodu 19 “Nevar sākt šo aparatūras ierīci” kļūda operētājsistēmās Windows 7/8 un 10

Jaunākā Steam klienta beta versija nodrošina oficiālu Nintendo Switch Pro Controller atbalstu

Labojums: Verizon vizuālais balss pasts nedarbojas

Gaidāmo Apex Legends rakstura detalizētās spējas noplūdušas, pārbaudiet arī Gibraltāra jauno Halloween Skin

Samsung kļūst nozvejots ar sarkanu roku, izmanto DSLR attēlu kā reklāmas tālruni

Labojums: Nevar izveidot savienojumu ar Nvidia

Noplūdes liecina, ka Pixel 4 varētu būt lēnāka UFS 2.1 krātuve

Kā Jailbreak iDevices operētājsistēmā iOS 9.2 - 9.3.3 bez datora

Populārākas Posts

Ieteicams