资安业者Palo Alto Networks本周二(9/18)揭露了一新的恶意程式Xbash,它兼具勒索、挖矿与僵尸网络等功能,且同时锁定Linux及Windows平台。
Xbash攻击不同平台有不同的角色及表现,它针对Linux平台时主要展现勒索软件与僵尸网络能力,先寻找缺乏保护的服务,删除受害者的MySQL、PostgreSQL与MongoDB数据库,再勒索比特币。
然而,研究人员发现,Xbash并未含有复原数据库的能力,也没有证据显示支付赎金的受害者已取回自己的数据库,显示出它是一款伪装成勒索软件的资料破坏程式。即便如此,骇客的加密货币账号已收到48笔款项,进账为0.964个比特币,价值约6,000美元。
Xbash在Windows上的作用则是挖矿及自我散布,它利用存在于Hadoop、Redis与ActiveMQ的安全漏洞进行自我散布,或是感染Windows操作系统。例如当Xbash开采Redis漏洞时,会先判断Redis服务是否运作在Windows之上,倘若答案是肯定的,那么它就会传送恶意的JavaScript及VBScript以下载并执行挖矿程式。
研究人员指出,虽然Xbash僵尸网络甫于今年5月现身,但它已有4个不同的版本,意谓著作者正积极开发该程式,其自我散布的能力非常类似曾带来重大损失的WannaCry与NotPetya,向受害者勒索却无法还原资料的行径亦与NotPetya如出一辙,警告企业应严阵以待。
Palo Alto Networks建议企业应使用强大密码,及时展开安全更新,针对Windows与Linux终端部署安全措施 ,避免存取网络上的不明主机,也要记得备份及配置有效的复原程序。
