新的恶意软件集勒索软件、硬币挖掘和僵尸网络功能于一体

被称为XBash的新恶意软件，据信与钢铁集团a.k.a.Roke，这家会说中文的APT威胁参与者组织因之前涉及勒索软件和加密货币矿工的网络攻击而闻名。

据发现该恶意软件的安全供应商Palo Alto Networks的研究人员称，XBash是一款集勒索软件和加密货币挖掘功能于一体的恶意软件，具有类似WannaCry或Petya/NotPetya的蠕虫功能。

除了自传播功能外，XBash还包含一项尚未实现的功能，该功能可能允许恶意软件在组织的网络中快速传播。

XBash用Python开发，搜索易受攻击或未受保护的web服务，并删除运行在Linux服务器上的MySQL、PostgreSQL和MongoDB等数据库，作为其勒索软件功能的一部分。

重要提示：支付赎金什么也得不到！

Xbash旨在扫描目标IP上的服务，包括TCP和UDP端口，如HTTP、VNC、MySQL/MariaDB、Telnet、FTP、MongoDB、RDP、ElasticSearch、Oracle数据库、CouchDB、Rlogin和PostgreSQL。

一旦找到打开的端口，恶意软件就会使用弱用户名和密码字典攻击，强行进入易受攻击的服务，一旦进入，就会删除所有数据库，然后显示赎金通知。

令人担忧的是，恶意软件本身不包含任何功能，一旦受害者支付了赎金，就可以恢复被删除的数据库。

到目前为止，XBash已经感染了至少48名受害者，他们已经支付了赎金，迄今为止，他们为威胁背后的网络犯罪分子赚了约6000美元。然而，研究人员没有看到任何证据表明，支付的款项已导致受害者的数据恢复。

该恶意软件还可以在僵尸网络中添加基于Linux的目标系统。

XBash恶意软件利用Hadoop、Redis和ActiveMQ中的缺陷

另一方面，XBash只针对Microsoft Windows计算机进行加密货币挖掘和自我传播。对于自传播，它利用Hadoop、Redis和ActiveMQ中的三个已知漏洞：

• Hadoop Thread ResourceManager于2016年10月披露了未经验证的命令执行错误，未分配CVE编号。
• Redis任意文件写入和远程命令执行漏洞于2015年10月披露，未分配CVE编号。
• ActiveMQ arbitrary file write vulnerability (CVE-2016-3088), disclosed in earlier 2016.

如果入口点是易受攻击的Redis服务，Xbash将发送恶意JavaScript或VBScript负载，用于下载和执行Windows版coinminer，而不是其僵尸网络和勒索软件模块。

如上所述，Xbash是用Python开发的，然后使用PyInstaller转换为可移植可执行文件（PE），它可以为多个平台创建二进制文件，包括Windows、Apple macOS和Linux，还提供反检测功能。

这反过来又使XBash成为真正的跨平台恶意软件，不过，在撰写本文时，研究人员只发现了适用于Linux的样本，没有看到任何Windows或macOS版本的XBash。

用户可以通过以下基本网络安全实践保护自己免受XBash攻击，包括：

• 更改系统上的默认登录凭据，
• 使用强大且唯一的密码，
• 让您的操作系统和软件保持最新，
• 避免下载和运行不受信任的文件或单击链接，
• 定期备份他们的数据
• 使用防火墙防止未经授权的连接。