شناسایی بدافزارِ همه‌کاره با قابلیت‌های باج‌افزار، بات‌نت و استخراج‌کننده‌ی رمزارز

به تازگی بدافزار جدیدی شناسایی شده که قابلیت‌های چند بدافزار را یک‌جا دارد و کاربران ویندوز و لینوکس را هدف حملات خود قرار داده است. در این بدافزارِ جدید، قابلیت‌های باج‌افزار، بدافزار استخراج رمزارز، بات‌نت و ویژگی خود-انتشاری مانند یک کرم، یک‌جا جمع شده است. نام این بدافزار Xbash بوده و به یک گروه نفوذ چینی با نام Iron Group نسبت داده شده است. محققان کشف کرده‌اند قابلیت خود-انتشاری در این بدافزار جدید مشابه باج‌افزارهای WannaCry و Petya/NotPetya است. 

محققان کشف کردند علاوه بر ویژگی خود-انتشاری، این بدافزار دارای قابلیت دیگری است که هنوز پیاده‌سازی نشده و با استفاده از آن می‌تواند به راحتی و با سرعت بالا در سطح شبکه‌ی یک سازمان توزیع شود. این بدافزار با زبان برنامه‌نویسی پایتون توسعه یافته و به دنبال سرویس‌های وب آسیب‌پذیر و محافظت‌نشده می‌گردد و در راستای قابلیت‌های باج‌افزاری خود بر روی سرورهای لینوکس، پایگاه‌داده‌هایی همچون MySQL، PostgreSQL و MongoDB را حذف می‌کند. 

هشدار مهم: پرداخت باج چیزی را عاید قربانیان نخواهد کرد!
بدافزار Xbash  طوری طراحی شده که بر روی آدرس IP هدف به دنبال سرویس‌هایی همچون  HTTP ،VNC ،MySQL/MariaDB ،Telnet ،FTP ،MongoDB ،RDP،  ElasticSearch ،Oracle Database ،CouchDB ،Rlogin و PostgreSQL بر روی پورت‌های TCP و UDP می‌گردد. وقتی که بدافزار پورت بازی را پیدا کرد، با فهرستی از نام کاربری و پسوردهای ضعیف، حمله‌ی جستجوی فراگیر را اجرا کرده و وارد آن سرویس می‌شود. در ادامه پایگاه داده‌های موجود را حذف کرده و پیغام باج‌خواهی را نمایش می‌دهد. 

نکته‌ی نگران‌کننده که در این بدافزار وجود دارد این است که در آن سازوکاری برای بازیابیِ پایگاه داده‌هایی که حذف شده‌اند وجود ندارد و قربانی پس از پرداخت باج، به فایل‌های خود دست نخواهد یافت. تاکنون حداقل ۴۸ قربانی به این بدافزار آلوده شده و باج را پرداخت کرده‌اند که منجر به دریافت ۶ هزار دلار توسط مهاجمان شده است. هرچند شواهدی از بازیابی فایل‌های این قربانیان وجود ندارد. این بدافزار همچنین می‌تواند سیستم‌های لینوکس را به یک بات‌نت اضافه کند. 

بدافزار Xbash از آسیب‌پذیری در  Hadoop ،Redis و ActiveMQ بهره‌برداری می‌کند!
از سوی دیگر، این بدافزار برای استخراج رمزارز و خود-انتشاری، سیستم‌های ویندوز مایکروسافت را هدف قرار می‌دهد. برای خود-انتشاری، از ۳ آسیب‌پذیریِ شناخته‌شده در  Hadoop، Redis و ActiveMQ بهره‌برداری می‌کند. 

• آسیب‌پذیری اجرای دستور بدون احراز هویت در Hadoop YARN ResourceManager که در سال ۲۰۱۶ میلادی شناسایی شده ولی شناسه‌ی CVE به آن اختصاص داده نشده است.
• آسیب‌پذیری نوشتن فایل دلخواه و اجرای کد از راه دور در Redis  که در سال ۲۰۱۵ میلادی شناسایی شده ولی شناسه‌ی CVE به آن اختصاص داده نشده است. 
• آسیب‌پذیری نوشتن فایل دلخواه در ActiveMQ  با شناسه‌ی CVE-2016-3088 که در سال ۲۰۱۶ میلادی افشاء شده است.

اگر بر روی سیستم هدف، سرویس آسیب‌پذیر Redis  در حال اجرا باشد، بدافزار Xbash  بار داده‌ی جاوا اسکریپت یا VBScript را برای دانلود و اجرای یک استخراج‌کننده‌ی رمزارز بر روی سیستم ویندوزی ارسال می‌کند و از قابلیت‌های باج‌افزاری و بات‌نتی صرفنظر می‌کند. همان‌طور که اشاره شد، این بدافزار به زبان برنامه‌نویسی پایتون توسعه داده شده و با ابزار PyInstaller به حالت اجرایی در آمده که بر روی بسترهای مختلف ویندوز، macOS اپل و لینوکس قابل اجرا بوده و می‌تواند نرم‌افزارهای امنیتی را دور بزند. با این حال، محققان در حال حاضر فقط نسخه‌ی لینوکسی از این بدافزار را مشاهده کرده‌اند.

کاربران با انجام اقدامات زیر می‌توانند از سیستم‌های خود در برابر آلودگی به بدافزار XBash  محافظت کنند:

•  پسوردهای پیش‌فرض را به نمونه‌های قوی بر روی سیستم خود تغییر دهید.
• از پسوردهای قوی و منحصربفرد استفاده کنید.
•  سیستم عامل و نرم‌افزارهای خود را به‌روزرسانی کنید.
• از دانلود و اجرای فایل‌های ناشناخته و کلیک برروی لینک‌های مشکوک خودداری کنید.
•  به‌طور منظم از فایل‌های خود نسخه‌ی پشتیبان تهیه کنید.
•  با استفاده از دیواره‌ی آتش از برقراری ارتباطات بدون احراز هویت و بدون مجوز جلوگیری کنید.

منبع