Phát hiện malware có khả năng xóa cơ sở dữ liệu trên Linux và Windows

Xbash có khả năng tìm kiếm các hệ thống được bảo vệ bằng một mật khẩu yếu và các thiết bị có chứa các lỗ hổng chưa từng được biết đến trước đây.

Phát hiện malware có khả năng xóa cơ sở dữ liệu trên Linux và Windows

Các nhà nghiên cứu bảo mật tại Unit 42 thuộc Palo Alto Networks đã tiến hành phân tích Xbash và phát hiện ra rằng ransomware và botnet được sử dụng chuyên dụng cho các hệ thống Linux, với các hướng dẫn rõ ràng nhằm mục đích xóa các cơ sở dữ liệu, trong khi loại malware này hoạt động trên Windows nhằm hạn chế việc khai thác tiền ảo và tự lây nhiễm các quy trình tự khai thác các lỗi bảo mật đã được biết đến trong các dịch vụ Hadoop, Redis và ActiveMQ.

 

Có nét giống ransomware NotPetya

Các nhà nghiên cứu cho biết khả năng cao ransomware Xbash chỉ là một chương trình, vì phần mềm độc hại không có khả năng khôi phục cơ sở dữ liệu sau khi các nhà khai thác phần mềm nhận được tiền chuộc.

Phần mềm độc hại phát hiện ra các dịch vụ không được bảo vệ và xóa các cơ sở dữ liệu MySQL, PostgreSQL và MongoDB.

Một số nạn nhân bị lừa và thanh toán tiền chuộc. Các khoản tiền chuộc trong ví liên kết với kẻ tấn công đã lên đến 0.964 BTC tại thời điểm này, với 48 giao dịch đề xuất thanh toán từ nhiều nạn nhân.

Ngoài ra phần độc hại cũng có một số khả năng khác giống với ransomware NotPetya, bao gồm khả năng lây nhiễm nhanh chóng trong hệ thống mạng của các tổ chức đến các máy chủ dễ bị tấn công. Tuy nhiên, chức năng quét vẫn chưa được triển khai.

 

Sử dụng kỹ thuật tấn công Brute-force

Xbash được trang bị để quét nhiều dịch vụ trên một địa chỉ IP đích trên cả 2 cổng TCP và UDP. Các dịch vụ bao gồm HTTP, VNC, MySQL, Memcached, FTP, Telnet, ElasticSearch, RDP, UPnP, NTP, DNS, SNMP, Rlogin, LDAP, CouchDB và cơ sở dữ liệu Oracle.

Khi phát hiện có cổng nào đang mở, phần mềm độc hại sẽ thực hiện cuộc tấn công Brute-force kết hợp với tên người dùng và mật khẩu yếu được tích hợp trong từ điển.

Sau khi đăng nhập, phần mềm độc hại sẽ xóa cơ sở dữ liệu trên máy chủ không chứa thông tin đăng nhập của người dùng và tạo một cơ sở dữ liệu mới để lưu trữ thông báo các khoản tiền chuộc.

Kẻ tấn công sử dụng Xbash sẽ yêu cầu các nạn nhân thanh toán 0.02BTC (tương đương 125 USD) gửi tới ví được liên kết để khôi phục lại dữ liệu.

Xbash được phát triển dựa trên Python, sau đó sử dụng PyInstaller để chuyển đổi sang định dạng Portable Executable (PE). Kỹ thuật này có nhiều ưu điểm, giúp hạn chế việc phát hiện, đảm bảo các cài đặt và thực thi trên nhiều bản phân phối Linux khác nhau, và có khả năng tạo các file nhị phân cho Windows, Linux và macOS.

Mặc dù các nhà nghiên cứu chỉ phát hiện các mẫu trên hệ điều hành Linux, bên cạnh đó phần mềm độc hại cũng có thể xác định các hệ điều hành có chứa các dịch vụ dễ bị tổn thương đang chạy và phân phối tải trọng thích hợp.

Trên hệ điều hành Windows, Xbash sẽ gửi trình tải xuống JavaScript hoặc VBScript để tìm nạp và thực thi chương trình coinminer. Trên Linux, Xbash thường xuyên chạy ransomware.

Xbash được xem đại diện cho loại phần mềm độc hại mới, có khả năng kết hợp các hàm và kỹ thuật tấn công được thiết kế để đảm bảo cuộc tấn công có thể thành công.

Có thể thấy xung quanh chúng ta hiện nay có rất nhiều nguy hiểm luôn rình rập, vì thế bạn hãy cài cho chiếc máy tính của mình một phần mềm diệt virus thật tốt để an tâm làm việc, học tập nhé, có rất nhiều phần mềm diệt virus để bạn lựa chọn như Avast, Kis ...

Hệ điều hành Chrome OS cải tiến giao diện mới, hỗ trợ ứng dụng Linux cũng như thêm một số tiện ích, tính năng hấp dẫn khác như Night Light, giúp cho người dùng có thể thoải mái sử dụng máy tính vào ban đêm hơn.

Những công cụ mơ ước của tội phạm mạng bây giờ đã có thật, khi mà mới đây các nhà nghiên cứu bảo mật vừa phát hiện malware có khả năng xóa cơ sở dữ liệu trên Linux và Windows. Theo đó loại malware, phần mềm độc hại này có tên là Xbash, là một botnet có khả năng tự lây nhiễm kết hợp các hàm cryptomining và ransomware.
Taimienphi.vn tặng bản quyền Kaspersky Internet Security
Phát hiện và loại bỏ Virus với Kaspersky Internet Security
Cách lấy lại bản quyền Kaspersky khi bị mất
Cách mua bản quyền Kaspersky Internet Security với giá chỉ còn 1/3 giá gốc
Đánh giá Kaspersky 2018: Phần mềm diệt virus hàng đầu
[GiveAWay] Tặng Kaspersky Internet Security for Android miễn phí 1 năm bảo vệ điện thoại khỏi app gián điệp

ĐỌC NHIỀU