یک دژافزار جدید (XBash) قابلیت‌های باج‌گیری، Mine کردن ارزهای دیجیتال و بات‌نت را با یکدیگر ترکیب کرده است.

XBash

کاربران ویندوز و لینوکس باید مراقب باشند، به عنوان یک برنامه همه‌کاره، این گونه جدید از دژافزارها در سطح اینترنت کشف شده است که ویژگی‌های آن در حقیقت ترکیب شده‌ی قابلیت‌های متعددی از جمله باج‌گیر افزار، Miner ارزهای دیجیتال، بات‌نت، و نوعی کرم خود-پخش شونده است که سیستم‌های دارای لینوکس و ویندوز را هدف قرار داده است.

این دژافزار جدید که XBash نامیده شده است احتملا به Iron Group وابسته است که با نام Rocke نیز شناخته می‌شوند و گروهی از مهاجمان چینی APT هستند که برای حملات سایبری قبلی از جمله باج‌گیرافزارها[۱] و mine کردن ارزهای دیجیتال[۲] شناخته شده هستند.

به گفته محققان از شرکت امنیتی Palo Alto Networks، که این دژافزار را شناسایی کرده‌اند[۳]، XBash یک دژافزار همه‌کاره است که قابلیت‌های باج‌گیر افزاری و mine کردن ارزهای دیجیتال را دارد و همچنین توانایی کرم-مانند مشابه WannaCry یا Petya/NotPetya را داراست[۴و۵].

علاوه بر قابلیت‌های خود تبلیغاتی، XBash همچنین شامل یک قابلیت است که هنوز پیاده‌سازی نشده است، که می‌تواند به این دژافزار اجازه دهد که خود را به سرعت در شبکه یک سازمان گسترش دهد.

XBash در پایتون توسعه یافته است و سرویس‌های آسیب‌پذیر یا محافظت نشده وب‌سایت‌ها را مورد حمله قرار می‌دهد و پایگاه‌های داده نظیر MySQL، PostgreSQL و MongoDB را که در حال اجرا بر روی سرورهای لینوکس هستند را به عنوان بخشی از قابلیت‌های باج‌گیر افزاری خود پاک می‌کند[۶].

نکته مهم: در ازای پرداخت کردن باج درخواستی، شما هیچ چیزی دریافت نخواهید کرد!

Xbash به گونه‌ای طراحی شده است که سرویس‌های IP مورد هدف، بر روی هر دو پورت TCP و UDP مانند HTTP ،VNC ،MySQL/MariaDB ،Telnet، FTP ،MongoDB ،RDP ،ElasticSearch، پایگاه داده اوراکل، CouchDB ،Rlogin و PostgreSQL را اسکن کند.

پس از پیدا کردن یک پورت باز، این دژافزار از یک حمله دیکشنری نام کاربری و کلمه عبور ضعیف استفاده می‌کند تا خودش را به سرویس آسیب‌پذیر brute force کند و هنگامی که داخل شد، همه پایگاه‌های داده را حذف می‌‎کند و سپس یادداشت باج‌خواهی را نمایش می‌دهد.

موضوع نگران‌کننده این است که خود دژافزار هیچگونه قابلیتی ندارد که پس از آنکه قربانیان مبلغ باج را پرداخت کنند، امکان بازیابی پایگاه‌های داده حذف شده را فراهم کند.

تا به امروز، XBash حداقل ۴۸ قربانی را آلوده کرده است که قبلا باج را پرداخت کرده‌اند که حدود ۶۰۰۰ دلار برای مجرمان سایبری تا به امروز درآمدزایی داشته است. با این حال، محققان هیچ مدرکی دریافت نکردند که باج‌های پرداختی موجب بازیابی اطلاعات قربانیان شده باشد.

این بدافزار همچنین توانایی اضافه کردن سیستم‌های مبتنی بر لینوکس را در یک بات‌نت دارد.

بدافزار XBash از نقص‌هایی در Hadoop ،Redis و ActiveMQ بهره‌برداری می‌کند.

از سوی دیگر، XBash سیستم‌های دارای مایکروسافت ویندوز را تنها برای mine کردن ارزهای دیجیتال و پخش کردن خود هدف قرار می‌دهد. برای خود-پخش شدن، از سه آسیب‌پذیری شناخته شده در Hadoop، Redis و ActiveMQ بهره برداری می‌کند:

اشکال اجرای فرمان غیرمجاز درHadoop YARN ResourceManager که در اکتبر ۲۰۱۶ منتشر شده و شماره CVE ندارد.
نوشتن فایل دلخواه و آسیب‌پذیری اجرای کد از راه دور در Redis که در ماه اکتبر ۲۰۱۵ و بدون شماره CVE منتشر شد.
آسیب‌پذیری نوشتن فایل دلخواه (CVE-2016-3088) در ActiveMQ که در اوایل سال ۲۰۱۶ منتشر شده است.

اگر در نقطه ورود یک سرویس Redis آسیب‌پذیر باشد، Xbash یک payload از نوع JavaScript یا VBScript موذی برای دانلود و اجرای یک coinminer برای ویندوز[۷] به جای بات‌نت خودش و ماژول باج‌گیر افزار ارسال می‌کند.

همانطور که در بالا ذکر شد، Xbash در پایتون توسعه داده شده است و سپس با استفاده از PyInstaller به یک اجرا شونده در حین حمل (PE) تبدیل شده است، که می‌تواند باینری‌ها را برای سیستم‌عامل‌های مختلف، از جمله ویندوز، Mac Mac OS و لینوکس ایجاد کند و همچنین قابلیت ضد تشخیص داده شدن را نیز ارائه می‌کند.

این قابیلت‌ها به نوبه خود، XBash را قادر می‌سازد که یک دژافزار چند پلتفرمی[۸] باشد، اما در زمان نوشتن این خبر، محققان نمونه‌هایی از این دژافزار را فقط برای لینوکس کشف کردند و نسخه هایی از Xbash که در ویندوز و macOS اجرا شود را مشاهده نکردند.

کاربران می توانند در برابر XBash و با پیروی از شیوه‌های اصلی امنیت سایبری که در زیر آورده شده است از خود در برابر این دژافزار محافظت کنند.