预警!毁灭性恶意软件Xbash来袭,天融信EDR为您保驾护航
Posted 天融信
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了预警!毁灭性恶意软件Xbash来袭,天融信EDR为您保驾护航相关的知识,希望对你有一定的参考价值。
恶意软件Xbash来袭
近日出现了一款集僵尸网络、勒索软件、挖矿蠕虫为一体的恶意软件“Xbash”。Xbash通过弱口令渗透或漏洞攻击来实施破坏行为并进行快速传播;该恶意软件可删除数据库内所有表,一旦感染就会导致数据库信息遭受永久性破坏。
Xbash破坏性、反侦测能力及传播力极强
Xbash对数据库具有毁灭性破坏
Xbash通过寻找缺乏防护的服务入侵系统,删除受害者的mysql、PostgreSQL和MongoDB等数据库,然后再勒索比特币。
但可怕的是,研究人员发现,Xbash并不具备数据库恢复能力;所以一旦感染上该恶意程序,即使是受害者支付赎金,也不可能得到恢复,数据将遭受毁灭性破坏,如下图所示:
Xbash通过phpMyAdmin创建到MySQL数据库的赎金消息
Xbash创建的新数据库,表和ransome消息
谨慎Windows系统被当矿机
Xbash 在 Windows 上的攻击表现为挖矿和自我散布。它利用存在于 Hadoop、Redis 和 ActiveMQ 上的安全漏洞进行自我散布,或是感染 Windows 操作系统。例如,当 Xbash 利用 Redis 漏洞时,它将首先确定 Redis 服务是否在 Windows 上运行。 如果是,它将发送恶意 javascript 和 VBScript 来下载并执行挖掘程序,如下图所示:
Xbash利用Redis漏洞传播
Xbash具有反检测能力致特征检测失效
针对windows平台,Xbash由Python开发并被PyInstaller转换为PE可执行恶意程序。通过PyInstaller的代码编译,代码压缩/转换和可选代码加密等过程一起混淆恶意行为。这种混淆有助于恶意软件阻止防病毒/反恶意软件引擎或静态分析的检测。在VirusTotal中观察到Xbash的1/57检测率,如图所示。
大量端口可被Xbash应用传播
Xbash主要扫描目标开放端口、弱口令、或可利用的未修补漏洞进行攻击,下表列出了Xbash探测的部分主要服务及端口:
天融信EDR解决方案
天融信高度关注和重视该恶意软件,组织安全专家团队进行了深入分析,通过天融信终端威胁防御系统(简称天融信EDR)提供专业的端点防护解决方案:
1、针对内网存在的弱口令问题,建议检测、更改系统使用的默认密码,使用更复杂、强大的非默认密码。
2、对于系统和应用存在的安全漏洞,建议通过天融信EDR漏洞修复功能进行自动修复和加固;可有效预防系统及应用漏洞进行传播和攻击的恶意行为。
3、针对病毒在内网自动横向传播,可开启天融信EDR“IP协议访问控制”功能对内网终端进行微隔离,严格控制端到端的访问,防止病毒在内网横向传播。
4、对于同一族群的Xbash病毒及其变种,天融信EDR利用特征、虚拟沙盒分析技术和病毒诱捕功能能够精准识别该病毒及其变种,及时感知Xbash及其变种的攻击行为,并对病毒行为进行阻止和清除。
5、针对不能及时安装补丁的终端,天融信EDR内置的 “虚拟漏洞补丁”功能可从网络层面与进程行为等多个角度综合分析并识别漏洞攻击模型,有效阻止漏洞攻击行为,从而在系统没有打补丁的情况,完成漏洞热修复。
6、未安装天融信企业版EDR的用户可以下载永久免费、无广告、无推送的公益杀毒软件天融信EDR个人版进行安全防护。
天融信EDR能够对Xbash、其他勒索病毒及网络恶意攻击进行有效预防、检测及防御,请您及时安装天融信EDR,为您的网络安全保驾护航!
热点
推荐
以上是关于预警!毁灭性恶意软件Xbash来袭,天融信EDR为您保驾护航的主要内容,如果未能解决你的问题,请参考以下文章
为啥我这边2个天融信的防火墙HA做主备模式的话,多切换几次都会变成主墙?