Xbashマルウェア、ランサムウェアとクリプトマイニングでWindowsとLinuxをターゲット化
新たに識別されたXbashマルウェアは、LinuxおよびWindowsシステム上の脆弱なパスワードと未パッチの脆弱性を標的にして、ランサムウェアやクリプトマイニングの攻撃を実行します。
背景
Palo Alto Networkの研究チームであるUnit 42は、最近、Xbashという新しい悪意のあるソフトウェア(マルウェア)ファミリーについてのブログを掲載しました。この新たに発見されたマルウェアは、弱いパスワードとパッチのない脆弱性を持つLinuxおよびWindowsシステムを標的としています。
Linuxシステムでは、XbashはMySQLデータベース、MongoDBデータベース、PostgreSQLデータベースを識別して削除し、被害者から身代金支払いを求めます。 Windowsシステムでは、クリプトマイニングと自己伝播を実行します。Xbashには削除されたデータベースを復元する機能がないので、身代金を支払ってもデータベースが復元されることはありません。
脆弱性の詳細
Xbashは2つの未パッチ脆弱性と1つのパッチ脆弱性を標的としています。 最初の未パッチの脆弱性は、Apache Hadoop YARNの認証されていないコマンドを実行する脆弱性です。これは2016年10月に最初に発見されましたが、CVEはありません。 2番目の未パッチの脆弱性は、2015年11月に最初に発見されたRedisのリモートコード実行の脆弱性で、これにもCVEはありません。 最後に、パッチが適用されたた脆弱性(CVE-2016-3088)は、Apache ActiveMQにおける任意のファイルに書き込みを実行する脆弱性です。
緊急措置が必要
Xbashマルウェアから保護するためには、組織で全面的に強力で一意のパスワードを使用していることを確認することをお勧めします。2つの脆弱性はパッチが適用されていないため、脆弱なアセットを特定し、エンドポイントセキュリティ製品によって保護されていることを確認することが重要です。 Apache ActiveMQにはパッチがあるので、組織は定期的にパッチを適用していることを確認する必要があります。 最後に、Xbashはデータベースを標的として削除するため、組織はデータベースを定期的にバックアップし、ネットワーク上の他のシステムと隔離する必要があります。
影響を受けているシステムの特定
以下のTenableプラグインは、Xbashマルウェアファミリが対象とするアプリケーションをスキャンします。
|
プラグインID |
説明 |
|
パスワード認証により保護されていないRedisサーバー |
|
|
Redisサーバーの検出 |
|
|
Apache ActiveMQ 5.x <5.14.0 ActiveMQ Fileserver Webアプリケーションのリモートからのコード実行の脆弱性(Xbash) |
|
|
Apache Hadoop YARN ResourceManagerのリモートからのコード実行(RCE)の脆弱性 |
詳細はこちら:
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。