Tenable ブログ
ブログ通知を受信するXbashマルウェア、ランサムウェアとクリプトマイニングでWindowsとLinuxをターゲット化
新たに識別されたXbashマルウェアは、LinuxおよびWindowsシステム上の脆弱なパスワードと未パッチの脆弱性を標的にして、ランサムウェアやクリプトマイニングの攻撃を実行します。
背景
Palo Alto Networkの研究チームであるUnit 42は、最近、Xbashという新しい悪意のあるソフトウェア(マルウェア)ファミリーについてのブログを掲載しました。この新たに発見されたマルウェアは、弱いパスワードとパッチのない脆弱性を持つLinuxおよびWindowsシステムを標的としています。
Linuxシステムでは、XbashはMySQLデータベース、MongoDBデータベース、PostgreSQLデータベースを識別して削除し、被害者から身代金支払いを求めます。 Windowsシステムでは、クリプトマイニングと自己伝播を実行します。Xbashには削除されたデータベースを復元する機能がないので、身代金を支払ってもデータベースが復元されることはありません。
脆弱性の詳細
Xbashは2つの未パッチ脆弱性と1つのパッチ脆弱性を標的としています。 最初の未パッチの脆弱性は、Apache Hadoop YARNの認証されていないコマンドを実行する脆弱性です。これは2016年10月に最初に発見されましたが、CVEはありません。 2番目の未パッチの脆弱性は、2015年11月に最初に発見されたRedisのリモートコード実行の脆弱性で、これにもCVEはありません。 最後に、パッチが適用されたた脆弱性(CVE-2016-3088)は、Apache ActiveMQにおける任意のファイルに書き込みを実行する脆弱性です。
緊急措置が必要
Xbashマルウェアから保護するためには、組織で全面的に強力で一意のパスワードを使用していることを確認することをお勧めします。2つの脆弱性はパッチが適用されていないため、脆弱なアセットを特定し、エンドポイントセキュリティ製品によって保護されていることを確認することが重要です。 Apache ActiveMQにはパッチがあるので、組織は定期的にパッチを適用していることを確認する必要があります。 最後に、Xbashはデータベースを標的として削除するため、組織はデータベースを定期的にバックアップし、ネットワーク上の他のシステムと隔離する必要があります。
影響を受けているシステムの特定
以下のTenableプラグインは、Xbashマルウェアファミリが対象とするアプリケーションをスキャンします。
プラグインID |
説明 |
パスワード認証により保護されていないRedisサーバー |
|
Redisサーバーの検出 |
|
Apache ActiveMQ 5.x <5.14.0 ActiveMQ Fileserver Webアプリケーションのリモートからのコード実行の脆弱性(Xbash) |
|
Apache Hadoop YARN ResourceManagerのリモートからのコード実行(RCE)の脆弱性 |
詳細はこちら:
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。