Xbash 恶意软件在Linux删除数据库在 Windows 挖掘密币

翻译：360代码卫士团队

网络犯罪分子的梦想工具出现了，它同时影响 Windows 和 Linux 服务器：一个具有自传播能力的僵尸网络同时兼具密币挖掘和勒索软件功能。

这个僵尸网络就是 Xbash，它瞄准的是受弱密码保护的系统以及带有未修复的已知漏洞的机器。

Palo Alto Networks 公司的 Unit 42 的安全研究员分析 Xbash 后发现其勒索软件和僵尸网络的能力为 Linux 系统而准备，具有删除数据库的清晰指令；而它在 Windows 机器上的活动仅限于利用 Hadoop、Redis 和 ActiveMQ 服务器中存在的已知漏洞的密币挖掘和自我传播例程。

研究人员表示，Xbash 的勒索软件能力“只是为了炫技”，因为其运营人员收到勒索金后无法恢复数据库。它发现未受保护的服务后删除 MySQL、PostgreSQL 和 MongoDB 数据库。

某些受害者已经中了勒索软件的招并支付勒索金。和该攻击者相关的钱包在本文发布之际的收入是0.964比特币，共48笔交易，这说明款项来自很多受害者。

Xbash 的其它能力源自从 NotPetya 获得的灵感，如在某组织机构网络内快速传播至易受攻击的服务器。然而，扫描功能尚未得以实现。

Xbash 能够针对目标 IP 在 TCP 和 UDP 端口上扫描多种服务，包括 HTTP、VNC、MySQL、Memcached、FTP、Telnet、ElasticSearch、RDP、UPnP、NTP、DNS、SNMP、Rlogin、LDAP、CouchDB 和 Oracle 数据库。

Xbash 在其中一些服务中找到一个开放端口后，通过内置字典中的弱用户名和密码组合实施暴力攻击。一旦登录后，Xbash 删除服务器上不包含用户登录信息的数据库并创建新的包含勒索信息的数据库。

Xbash 的操纵人员要求向钱包发送0.02比特币（约125美元），承诺届时恢复数据。Xbash 通过 Python 编写，然而使用 PyInstaller 转换为 PE 格式。这种技术有很多好处，能够躲避检测、在多个 Linux 实例中确保安装和执行，以及为 Windows、Linux 和 macOS 创建二进制。

尽管研究人员仅找到针对 Linux 的样本，但 Xbash 能够判断出易受攻击服务正在运行的操作系统并传播合适的 payload。

在 Windows 机器上，它将发送一个 JavaScript 或 VBScript 下载器来提取并执行密币挖矿机。在 Linux 上，它运行的是勒索软件例程。

Xbash 代表的是恶意软件演变史上的新阶段，结合函数和技术确保其成功。它是被 Unit 42 称之为 “Iron Group” 的活跃威胁者所为，该威胁者因实施其它勒索软件攻击而为人所知。

原文链接

https://www.bleepingcomputer.com/news/security/xbash-malware-deletes-databases-on-linux-mines-for-coins-on-windows/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。