WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Phần mềm độc hại mới tích hợp các tính năng ransomware, đào tiền ảo và botnet
Người dùng Windows và Linux phải cẩn trọng khi các nhà nghiên cứu đã phát hiện trong thực tế một malware tích hợp tất cả các tính năng ransomware, đào tiền ảo, botnet và tự lây lan như worm nhắm tới các hệ thống Linux và Windows.
Phần mềm độc hại mới có tên XBash, được cho là có liên quan đến Iron Group, hay Rocke-một nhóm tấn công APT từ Trung Quốc từng được biết đến qua các cuộc tấn công mạng trước đó liên quan đến ransomware và đào tiền ảo.
Theo các nhà nghiên cứu tại công ty Palo Alto Networks đã phát hiện malware này, Xbash là một phần mềm độc hại tích hợp các tính năng ransomware, đào tiền ảo, có khả năng worm tương tự như WannaCry hoặc Petya/NotPetya.
Ngoài khả năng tự lây lan, XBash có một tính năng chưa triển khai, có thể cho phép malware này lây lan nhanh chóng bên trong mạng của một tổ chức.
Được phát triển bằng Python, Xbash tìm các dịch vụ web có lỗ hổng hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB đang chạy trên các máy chủ Linux.
Quan trọng: Trả tiền chuộc không có tác dụng
Xbash được xây dựng để quét các dịch vụ trên IP bị nhắm tới, gồm cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin và PostgreSQL.
Khi tìm thấy một cổng mở, malware sử dụng phương thức brute force để tấn công vào các dịch vụ có lỗ hổng. Sau đó, nó sẽ xóa tất cả các cơ sở dữ liệu và hiển thị thông báo về việc chuộc lại dữ liệu.
Điều đáng lo ngại là bản thân malware này không có bất kỳ chức năng nào cho phép khôi phục lại những dữ liệu đã bị xóa kể cả khi nạn nhân trả tiền chuộc.
Đến hiện tại, XBash đã lây nhiễm ít nhất 48 nạn nhân đã trả tiền chuộc với số tiền khoảng 6.000 USD. Tuy nhiên, các nhà nghiên chưa tìm thấy bằng chứng nào cho thấy các khoản tiền chuộc có thể giúp khôi phục lại dữ liệu cho các nạn nhân.
Malware cũng có khả năng bổ sung các hệ thống dựa trên nền tảng Linux bị tấn công vào mạng botnet.
XBash khai thác lỗ hổng trong Hadoop, Redis và ActiveMQ
Mặt khác, XBash nhắm tới các máy dùng Windows của Microsoft để khai thác tiền ảo và tự lây lan bằng cách khai thác ba lỗ hổng đã biết đến trong Hadoop, Redis và ActiveMQ.
- Lỗi thực thi lệnh chưa được xác thực trên YARN ResourceManager của Hadoop được công bố vào tháng 10/2016 và chưa được đặt tên CVE.
- Lỗi ghi file tùy ý và lỗ hổng thực thi lệnh từ xa trên Redis được tiết lộ vào tháng 10/2015 và chưa được đặt tên CVE.
- Lỗ hổng CVE-2016-3088 ghi file tùy ý trên ActiveMQ, được tiết lộ vào đầu năm 2016.
Nếu điểm đầu vào là một dịch vụ có lỗ hổng của Redis, Xbash sẽ gửi payload JavaScript hoặc VBScript độc hại để download và đào tiền ảo trên Windows thay vì botnet và module ransomware của nó.
Như đã đề cập ở trên, Xbash được phát triển bằng Python và sau đó được chuyển thành Portable Executable (PE) nhờ PyInstaller, có thể tạo các file nhị phân cho nhiều nền tảng, bao gồm Windows, Apple macOS và Linux, đồng thời có thể tránh bị phát hiện.
Điều này cho phép XBash thực sự là một malware đa nền tảng, tuy nhiên, các nhà nghiên cứu chỉ tìm thấy các mẫu trên Linux và chưa thấy bất kỳ phiên bản nào của Xbash trên Windows hay MacOS.
Người dùng có thể tự bảo vệ mình khỏi XBash bằng cách thực hiện bước cơ bản sau:
- Thay đổi thông tin đăng nhập mặc định trên hệ thống của bạn
- Đặt mật khẩu mạnh và duy nhất
- Luôn cập nhật hệ điều hành và phần mềm
- Không tải và chạy các file đáng nghi hoặc click vào các liên kết
- Thường xuyên sao lưu dữ liệu
- Chặn kết nối trái phép qua tường lửa.
Theo các nhà nghiên cứu tại công ty Palo Alto Networks đã phát hiện malware này, Xbash là một phần mềm độc hại tích hợp các tính năng ransomware, đào tiền ảo, có khả năng worm tương tự như WannaCry hoặc Petya/NotPetya.
Ngoài khả năng tự lây lan, XBash có một tính năng chưa triển khai, có thể cho phép malware này lây lan nhanh chóng bên trong mạng của một tổ chức.
Được phát triển bằng Python, Xbash tìm các dịch vụ web có lỗ hổng hoặc không được bảo vệ và xóa các cơ sở dữ liệu như MySQL, PostgreSQL và MongoDB đang chạy trên các máy chủ Linux.
Quan trọng: Trả tiền chuộc không có tác dụng
Xbash được xây dựng để quét các dịch vụ trên IP bị nhắm tới, gồm cả hai cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin và PostgreSQL.
Khi tìm thấy một cổng mở, malware sử dụng phương thức brute force để tấn công vào các dịch vụ có lỗ hổng. Sau đó, nó sẽ xóa tất cả các cơ sở dữ liệu và hiển thị thông báo về việc chuộc lại dữ liệu.
Điều đáng lo ngại là bản thân malware này không có bất kỳ chức năng nào cho phép khôi phục lại những dữ liệu đã bị xóa kể cả khi nạn nhân trả tiền chuộc.
Đến hiện tại, XBash đã lây nhiễm ít nhất 48 nạn nhân đã trả tiền chuộc với số tiền khoảng 6.000 USD. Tuy nhiên, các nhà nghiên chưa tìm thấy bằng chứng nào cho thấy các khoản tiền chuộc có thể giúp khôi phục lại dữ liệu cho các nạn nhân.
Malware cũng có khả năng bổ sung các hệ thống dựa trên nền tảng Linux bị tấn công vào mạng botnet.
XBash khai thác lỗ hổng trong Hadoop, Redis và ActiveMQ
Mặt khác, XBash nhắm tới các máy dùng Windows của Microsoft để khai thác tiền ảo và tự lây lan bằng cách khai thác ba lỗ hổng đã biết đến trong Hadoop, Redis và ActiveMQ.
- Lỗi thực thi lệnh chưa được xác thực trên YARN ResourceManager của Hadoop được công bố vào tháng 10/2016 và chưa được đặt tên CVE.
- Lỗi ghi file tùy ý và lỗ hổng thực thi lệnh từ xa trên Redis được tiết lộ vào tháng 10/2015 và chưa được đặt tên CVE.
- Lỗ hổng CVE-2016-3088 ghi file tùy ý trên ActiveMQ, được tiết lộ vào đầu năm 2016.
Nếu điểm đầu vào là một dịch vụ có lỗ hổng của Redis, Xbash sẽ gửi payload JavaScript hoặc VBScript độc hại để download và đào tiền ảo trên Windows thay vì botnet và module ransomware của nó.
Như đã đề cập ở trên, Xbash được phát triển bằng Python và sau đó được chuyển thành Portable Executable (PE) nhờ PyInstaller, có thể tạo các file nhị phân cho nhiều nền tảng, bao gồm Windows, Apple macOS và Linux, đồng thời có thể tránh bị phát hiện.
Điều này cho phép XBash thực sự là một malware đa nền tảng, tuy nhiên, các nhà nghiên cứu chỉ tìm thấy các mẫu trên Linux và chưa thấy bất kỳ phiên bản nào của Xbash trên Windows hay MacOS.
Người dùng có thể tự bảo vệ mình khỏi XBash bằng cách thực hiện bước cơ bản sau:
- Thay đổi thông tin đăng nhập mặc định trên hệ thống của bạn
- Đặt mật khẩu mạnh và duy nhất
- Luôn cập nhật hệ điều hành và phần mềm
- Không tải và chạy các file đáng nghi hoặc click vào các liên kết
- Thường xuyên sao lưu dữ liệu
- Chặn kết nối trái phép qua tường lửa.
Theo The hacker news