新發現的Xbash惡意軟體

針對Linux和Windows系統上的弱密碼和未修補的漏洞, 以啟動勒索軟體或加密攻擊

Palo Alto Network的研究團隊最近在blog上發佈了一篇名為Xbash的新惡意軟體(惡意軟體)系列。 這個新發現的惡意軟體針對的是具有弱密碼和未修補漏洞的Linux和Windows系統。 在Linux系統上,Xbash將識別並刪除MySQL,MongoDB和PostgreSQL資料庫,然後向受害者索取贖金。 在Windows系統上,它將啟動加密和自我傳播。組織應該知道Xbash沒有恢復已刪除資料庫的功能,因此支付贖金沒有用處。

漏洞詳細資訊

Xbash針對兩個未修補的漏洞和一個修補漏洞。第一個未修補的漏洞是Apache Hadoop YARN中未經身份驗證的命令執行漏洞,該漏洞最初於2016年10月被發現,但沒有CVE。第二個未修補的漏洞是Redis中的遠程執行代碼漏洞,該漏洞最初於2015年11月發現,並且沒有CVE。最後,修補漏洞CVE-2016-3088是Apache ActiveMQ中的任意文件寫入漏洞。

迫切需要的行動

為了防止Xbash惡意軟體,我們建議企業組織確保他們全面使用強大而獨特的密碼。由於兩個漏洞仍未修補,因此識別易受攻擊的資產並確保它們受端點安全產品保護非常重要。由於Apache ActiveMQ有一個補丁,企業組織應確保他們定期應用補丁。最後,由於Xbash定位和刪除資料庫,企業組織應定期備份資料庫並將其與網絡上的其他系統隔離。

識別受影響的系統

Tenable具備以下插件可用於掃描Xbash惡意軟件系列所針對的應用程序。

獲取更多信息: Xbash將Botnet,Ransomware,Coinmining整合到目標Linux和Windows的蠕蟲中 https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/ ]

 

加密貨幣 - 挖掘惡意軟件:2018年的新威脅? https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-mining-malware-2018-new-menace/

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.