Xbash: باجافزاری قلابی در Linux، استخراجکننده ارز رمز در Windows
محققان شرکت شرکت امنیتی پالوآلتو نتورکز از شناسایی بدافزار جدید پیشرفتهای با نام Xbash خبر دادهاند که قادر به آلودهسازی دستگاههای با هر یک از سیستمهای عامل Linux و Windows است. در عین حال، عملکرد این بدافزار بر روی هر یک از سیستمهای عامل مذکور متفاوت گزارش شده است.
در دستگاههای با سیستم عامل Linux بدافزار Xbash در ظاهر یک باجافزار، دسترسی کاربر را به بانکهای داده نرمافزارهای زیر مسدود میکند.
- MySQL
- PostgreSQL
- MongoDB
این مسدودسازی نه با رمزگذاری که با حذف این بانکهای داده، آن هم بدون تهیه هر گونه نسخه پشتیبان صورت میگیرد. Xbash پس از حذف بانکهای داده بر روی سرور، یک بانک داده جدید که حاوی اطلاعیه باجگیری (تصویر زیر) است ایجاد میکند.
در اطلاعیه از قربانی خواسته میشود تا مبلغ 0.02 بیتکوین را در ازای آنچه که این مهاجمان بازگردانی بانک داده میخوانند پرداخت کند.
به گزارش شرکت مهندسی شبکه گستر، اگر چه همانطور که اشاره شد امکان بازگردانی بانکهای داده حذف شده فراهم نیست اما بررسی شماره کیف بیتکوین درج شده در اطلاعیه نشان میدهد که در عرض همان 48 ساعت اول قربانیان، در مجموع، مبلغ 0.964 را به این شماره کیف بیتکوین واریز کردهاند.
در دستگاههای با سیستم عامل Windows نیز بدافزار از طریق دریافتکنندهای مبتنی بر JavaScript یا VBScript اقدام به دریافت و اجرای ابزار استخراجکننده ارز رمز میکند.
این بدافزار قادر به پویش پودمانها و سرویسهای زیر است:
HTTP, VNC, MySQL, Memcached, FTP, Telnet, ElasticSearch, RDP, UPnP, NTP, DNS, SNMP, Rlogin, LDAP, CouchDB, Oracle Database
در برخی از این پودمانها و سرویسها، Xbash، در صورت شناسایی درگاه باز، حملات موسوم به Brute-force را بهمنظور رخنه به سرویس دهندگان با رمز عبور ضعیف اجرا میکند.
همچنین، این بدافزار، قادر به گسترش خود از طریق بهرهجویی از آسیبپذیریهای شناخته شده در سرویسهای Hadoop،و Redis و ActiveMQ است.
Xbash با زبان برنامهنویسی Python توسعه داده شده و با استفاده از PyInstaller در قالب PE قرار گرفته است. روشی که عملا این بدافزار را قادر به عبور از سد بسیاری از ابزارهای امنیتی کرده و در عین حال، قابلیت اجرا بر روی انواع گونههای Linux را در کنار توانایی اجرا بر روی سیستم عامل Windows فراهم نموده است.
پالوآلتو نتورکز، گروه Iron Group را گرداننده Xbash معرفی کرده است؛ گروهی که به اجرای حملات باجافزاری معروف است.
مشروح گزارش پالوآلتو نتورکز در اینجا قابل دریافت و مطالعه است.