/ 2018-09-20
近日,海外出现一款针对linux和windows服务器的新型恶意样本xbash。xbash拥有勒索病毒和挖矿病毒两种不同核心功能,同时它还具备自我传播的功能。值得注意的是,xbash会对受害者数据造成永久性的破坏,即使是受害者支付赎金,这些数据也不可能得到恢复。
病毒名称:xbash
病毒性质:勒索病毒与挖矿病毒
危害等级:高危
传播方式:弱密码攻击及漏洞利用
此外,相比wannacry基本覆盖了windows pc版和服务器版各个操作系统版本,xbash攻击目标的针对性更强,更多的是针对web服务器、数据库服务器这些承载高价值数据的服务器。目前主要是存在弱密码和未授权漏洞的服务器容易受xbash。
02、样本分析
xbash用python语言进行开发编写,然后再转化为pe文件,主要是为了做免杀处理,同时也具备跨平台的特性。
xbash用http://ejectrift.censys.xyz/cidir
扫描的端口服务列表如下:
http:8088,8000,8080,80
vnc:5900,5901,5902,9900,9901,9902
rdp:3389
oracle:1521
rsync:873
mssql:1433
mysql:306
postgresql:5432
redis:6379,7379
elasticsearch:9200
memcached:11211
mongodb:27017
接下来,xbash使用内置的弱用户名和密码字典,暴力破解登录相应的服务,包括rsync,vnc,phpmyadmin,mysql,postgresql,mongodb,redis。
如果成功登录到mysql,mongodb,postgresql等web服务,会删除服务器中的数据库,然后创建一个勒索信息的新的数据库,并写入一条勒索信息到新的数据库表中。
在内网中,xbash利用几个相关漏洞可进行快速传播。包括hadoop yarn resourcemanager未经身份验证的命令执行漏洞、activemq任意文件写入漏洞、以及redis任意文件写入和远程命令执行漏洞。
此外,xbash写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,先kill掉其它的linux系统下的各种挖矿家族,然后再下载执行自己的挖矿程序。
凯发登录的解决方案
1、更改账户密码,设置强密码,避免使用统一的密码。
2、深信服防火墙和安全感知,已支持针对xbash的流量检测,升级僵尸网络识别库到utm20180919及以上版本 ,可进行封堵!
3、xbash会特意针对web站点进行攻击,推荐使用深信服防火墙的web应用防护功能进行防护。
4、深信服防火墙、终端检测响应平台(edr)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,edr开启防爆破功能可进行防御。
5、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 防火墙 edr,对内网进行感知、查杀和防护。
6、深信服为广大用户免费提供病毒查杀工具,用户可下载此工具,进行病毒查杀。
病毒名称:xbash
病毒性质:勒索病毒与挖矿病毒
危害等级:高危
传播方式:弱密码攻击及漏洞利用
病毒分析
01、病毒描述
xbash主要通过攻击弱密码和未修补的漏洞进行传播,利用的漏洞类型包括hadoop yarn resourcemanager未经身份验证的命令执行漏洞、activemq任意文件写入漏洞、redis任意文件写入和远程命令执行漏洞。
此外,相比wannacry基本覆盖了windows pc版和服务器版各个操作系统版本,xbash攻击目标的针对性更强,更多的是针对web服务器、数据库服务器这些承载高价值数据的服务器。目前主要是存在弱密码和未授权漏洞的服务器容易受xbash。
02、样本分析
xbash用python语言进行开发编写,然后再转化为pe文件,主要是为了做免杀处理,同时也具备跨平台的特性。
xbash用http://ejectrift.censys.xyz/cidir
获取公网ip地址段,然后对相应的web服务端口进行扫描,如下图所示:
扫描的端口服务列表如下:
http:8088,8000,8080,80
vnc:5900,5901,5902,9900,9901,9902
rdp:3389
oracle:1521
rsync:873
mssql:1433
mysql:306
postgresql:5432
redis:6379,7379
elasticsearch:9200
memcached:11211
mongodb:27017
接下来,xbash使用内置的弱用户名和密码字典,暴力破解登录相应的服务,包括rsync,vnc,phpmyadmin,mysql,postgresql,mongodb,redis。
如果成功登录到mysql,mongodb,postgresql等web服务,会删除服务器中的数据库,然后创建一个勒索信息的新的数据库,并写入一条勒索信息到新的数据库表中。
在内网中,xbash利用几个相关漏洞可进行快速传播。包括hadoop yarn resourcemanager未经身份验证的命令执行漏洞、activemq任意文件写入漏洞、以及redis任意文件写入和远程命令执行漏洞。
xbash利用 activemq任意文件写入漏洞
此外,xbash写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,先kill掉其它的linux系统下的各种挖矿家族,然后再下载执行自己的挖矿程序。
凯发登录的解决方案
1、更改账户密码,设置强密码,避免使用统一的密码。
2、深信服防火墙和安全感知,已支持针对xbash的流量检测,升级僵尸网络识别库到utm20180919及以上版本 ,可进行封堵!
3、xbash会特意针对web站点进行攻击,推荐使用深信服防火墙的web应用防护功能进行防护。
4、深信服防火墙、终端检测响应平台(edr)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,edr开启防爆破功能可进行防御。
5、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知 防火墙 edr,对内网进行感知、查杀和防护。
6、深信服为广大用户免费提供病毒查杀工具,用户可下载此工具,进行病毒查杀。