新的恶意软件将勒索软件：挖矿和僵尸网络功能合二为一

Windows和Linux用户需要注意了！最近发现了一种一体化的破坏性恶意软件，它具有多种恶意软件功能，包括勒索软件，加密货币挖掘器，僵尸网络以及针对Linux和Windows系统的自我传播蠕虫。

被称为XBash的新恶意软件被认为与铁集团有关，也就是Rocke--中国人说APT威胁行动者团体，他们之前因涉及勒索软件和加密货币矿工的网络攻击而闻名。

据发现恶意软件的安全厂商Palo Alto Networks的研究人员称，XBash是一种一体化的恶意软件，具有勒索软件和加密货币挖掘功能，以及类似于WannaCry的类似蠕虫的能力或Petya / NotPetya。

除了自我传播功能外，XBash还包含一项尚未实现的功能，可以使恶意软件在组织的网络中快速传播。

XBash是用Python开发的，用于搜索易受攻击或未受保护的Web服务，并删除在Linux服务器上运行的MySQL，PostgreSQL和MongoDB等数据库，作为其勒索软件功能的一部分。

重要提示：支付赎金是没有用的！

Xbash旨在扫描目标IP上的服务，包括TCP和UDP端口，如HTTP，VNC，MySQL / MariaDB，Telnet，FTP，MongoDB，RDP，ElasticSearch，Oracle数据库，CouchDB，Rlogin和PostgreSQL。

一旦找到一个开放的端口，恶意软件就会使用弱的用户名和密码字典攻击来强制自己进入易受攻击的服务，一旦进入，删除所有数据库，然后显示勒索信息。

令人担忧的是，一旦受害者支付了赎金金额，恶意软件本身就不包含允许恢复已删除数据库的任何功能。

到目前为止，XBash已经感染了至少48名已经支付了赎金的受害者，迄今为止已经为这一威胁背后的网络犯罪分子牟利了大约6,000美元。然而，研究人员没有看到任何证据表明付费付款导致受害者数据恢复。

该恶意软件还具有在僵尸网络中添加基于Linux的目标系统的功能。

XBash恶意软件利用Hadoop，Redis和ActiveMQ中的漏洞

另一方面，XBash仅针对Microsoft Windows机器进行加密货币挖掘和自我传播。对于自我传播，它利用了Hadoop，Redis和ActiveMQ中的三个已知漏洞：

• 2016年10月披露的Hadoop YARN ResourceManager未经身份验证的命令执行错误，未分配CVE编号。
• 2015年10月公布的Redis任意文件写入和远程命令执行漏洞未分配CVE编号。
• ActiveMQ任意文件写入漏洞（CVE-2016-3088），在2016年早些时候披露。

如果入口点是易受攻击的Redis服务，Xbash将发送恶意JavaScript或VBScript有效负载，以便下载并执行适用于Windows的coinminer而不是其僵尸网络和勒索软件模块。

如上所述，Xbash是用Python开发的，然后使用PyInstaller转换为Portable Executable（PE），PyInstaller可以为多个平台创建二进制文件，包括Windows，Apple macOS和Linux，还提供反检测。

反过来，这使得XBash成为真正的跨平台恶意软件，但在撰写本文时，研究人员仅为Linux发现了样本，并没有看到任何Windows或macOS版本的Xbash。

用户可以通过遵循基本的网络安全实践来保护自己免受XBash攻击，包括：

• 更改系统上的默认登录凭据，
• 使用强大而独特的密码，
• 让您的操作系统和软件保持最新，
• 避免下载和运行不受信任的文件或单击链接，
• 定期备份数据
• 使用防火墙防止未经授权的连接