اخبار

باج افزار XBash، هر سه خصوصیت باج افزار، بات نت و ماینر را در خود دارد.

کاربران ویندوز و سیستم عامل‌های لینوکس باید آگاه باشند که بدافزار مخرب جدیدی بنام XBash به سرورهای لینوکس و ویندوز حمله کرده است. این باج افزار ، توسط گروهی بنام Iron Group اداره می‌شود که قابلیت استفاده از باج افزار و کریپتوماینرها و بات نت ها را همزمان دارد.

به گفته‌ی Rock Chinese ، علاوه بر آن بازیگران تهدید APT که پیش از آن اقدام به ربودن تروجان‌ها کرده بودند اینبار با استفاده از XBash و قابلیت استفاده از باج افزارها و ماینینگ کردن کریپتو کارنسی توانستند حملات پیشرفته‌ایی را اجرا کنند.

گروه Iron Group گرداننده‌ی اصلی بدافزار XBash معرفی شده است. طبق گفته‌های محققان شرکت PaloAlto Networks که به شناسایی این باج افزار پراختند، مشخص شده است که XBash یک تروجان همه کاره است. همانند بدافزارهای مخرب Wannacry و یا (Petya (Notepetya از قابلیت‌های باج افزاری و ماینینگ کردن کریپتو کارنسی استفاده می‌کند و همچون Worm به تکثیر خود در سرتاسر سیستم می‌پردازد.

علاوه برقابلیت خود تکثیریXBash، بسیاری از قابلیت‌ها و ویژگی‌های آن وجود دارند که هنوز اجرا نشدند، اما می‌تواند به بدافزار امکان گسترش سریع و سازماندهی شده در شبکه را بدهد.

XBash با زبان برنامه نویسی Python توسعه داده شده است. این بدافزار به شکار شبکه‌های آسیب پذیر و یا محافظت نشده (منبع باز) می‌پردازد و حذف پایگاه داده‌هایی مانند؛ MySQL -SQL Postgre و Mongo DB اجرا شده در سرورهای لینوکس، بخشی از قابلیت‌های این بدافزار به حساب می آید.

نکته‌ی مهم اینکه؛ با پرداخت باج ممکن است هم چنان کلید رمزگشایی را دریافت نکنید.

XBash با شناسایی آسیب پذیری‌ها و کلمه‌های عبور ضعیف که توسط پورت هایی مانند؛ HTTP – VNC – MySQL – MariaDB – Telnet – FTP – MongoDB – RDP – ElasticSearch – Oracle Database – CounchDB – Rlogin – PostgreSQL – TCP – UDP حمله را انجام می‌دهد.

در برخی از این پروتکل‌ها و سرویس‌ها، XBash در صورت شناسایی درگاه باز، از حملات موسوم به Brute Force و نام کاربری‌های ضعیف برای سرویس‌های ضعیف استفاده می‌کند و سپس تمام پایگاه داده‌ها را حذف می‌کند و سپس پیغام باج افزار را نمایش می‌دهد. موضوع نگران کننده این است که خود بدافزار هیچ گونه ویژگی و یا قابلیتی برای بازگردانی پایگاه داده‌های حذف شده، پس از آنکه قربانیان مبلغ باج را پرداخت کردند، ندارد.

تاکنون این بدافزار، حداقل ۴۸ قربانی خود را آلوده کرده و حدود ۶۰۰۰ دلار تا این لحظه برای مجرمان سایبری، سودآوری کرده است.

با این حال محققان هیچ مدرکی که  گواه آن باشد که با پرداخت باج، قربانینان می‌توانند اطلاعات از دست رفته‌ی خود را مجدداَ بازیابی کنند، را پیدا نکردند. بدافزار هم چنین توانایی اضافه کردن سیستم‌های مبتنی بر لینوکس را در بات نت دارد.

از طرفی دیگر XBash ، ویندوزهای مایکروسافت را تنها برای ماینینگ کریپتوکارنسی، و خود تکثیری مورد هدف قرار می دهند. به منظور اجرای روند خود تکثیری از ۳ آسیب پذیری شناخته شده، در سرویس های Hadoop – Redis – Active MQ سوءاستفاده می کند که به در زیر توضیح داده شده اند:

  • کشف آسیب پذیری در اجرای فرمان مدیریت منبع Hadoop YARN  در اکتبر سال ۲۰۱۶ ، بدون هیچ شماره‌ی شناسایی CVE
  • کشف آسیب پذیری اجرای از راه دور دستورالعمل ها در اکتبر سال ۲۰۱۵ ، بدون هیچ شماره ی شناسایی CVE
  • کشف آسیب پذیری Active MQ با شناسه ی CVE-2016-3088 در سال ۲۰۱۶

اگر درگاه ورودی یک آسیب پذیری برای سرویس Redis به حساب بیاید ، XBash برای دانلود و اجرای کوین ماینر برای ویندوز به جای بات نت و یا باج افزار، بدافزار مخرب را به جاوا اسکریپت و یا VB Script ارسال می کند.

همانطور که در قسمت بالا ذکرشد، XBash با زبان برنامه نویسی Python توسعه داده شده است و سپس با استفاده از PyInstaller تبدیل به فایل قابل حمل PE می شود که می تواند ماینرها را برای چندین پلت فرم مختلف، از جمله ویندوز، سیستم عامل مک، لینوکس، و هم چنین نرم افزارهای ضد تشخیص فراهم کند.

این مورد به نوبه‌ی خود XBash را قادر می‌سازد تا به عنوان یک بدافزار حقیقی عمل کند، اما محققان نمونه‌هایی از قابلیت‌های این بدافزار را در لینوکس کشف کردند که تا کنون نمونه‌ی آن را در نسخه‌های ویندوز و سیستم عامل مک ندیده بودند.

کاربران می‌توانند با دنبال کردن شیوه‌های امنیتی سایبری در مقابل XBash ایمن بمانند.

  • تغییر حالت پیش فرض لاگین در سیستم
  • استفاده از رمز عبورهای قوی و یونیک
  • بروزرسانی‌های مداوم سیستم عامل و برنامه‌ها
  • اجتناب از دانلود و اجرای فایل‌های مشکوک و هم چنین کلیک کردن لینکهای مخرب
  • بکاپ گیری منظم از داده‌ها
  • اجتناب از ارتباطات غیر مجاز و استفاده از فایروال

اگر در خصوص این موضوع نظری دارید ، لطفاَ آن را در قسمت زیر با ما در میان بگذارید.

 

بیشتر بخوانید:

نسرین ذاکری
نویسندهنسرین ذاکری

دیدگاهتان را بنویسید