信息來(lái)源：51cto

安全運(yùn)營(yíng)商 Palo Alto Networks 近日發(fā)現(xiàn)了一個(gè)惡意程序 Xbash，它兼具勒索、挖礦、僵尸網(wǎng)絡(luò)等功能，且同時(shí)鎖定 Linux 和 Windows 平臺(tái)。

Xbash 攻擊不同的平臺(tái)有不同的表現(xiàn)。它在攻擊 Linux 平臺(tái)時(shí)，主要表現(xiàn)為軟件勒索和僵尸網(wǎng)絡(luò)。通過(guò)尋找缺乏防護(hù)的服務(wù)，刪除受害者的 MySQL、PostgreSQL 和 MongoDB 數(shù)據(jù)庫(kù)，再勒索比特幣。

但研究員發(fā)現(xiàn)，Xbash 并不具備恢復(fù)數(shù)據(jù)庫(kù)的能力，也沒(méi)有證據(jù)顯示支付贖金的受害者已經(jīng)取回自己的數(shù)據(jù)庫(kù)。因此判斷這是一款偽裝成勒索軟件的數(shù)據(jù)破壞程序。但即便如此，還是有人支付贖金，據(jù)了解，黑客的加密貨幣賬戶(hù)已收到 48 項(xiàng)支付款，其中有 0.964 個(gè)比特幣，價(jià)值約 6000 美元。

Xbash 在 Windows 上的攻擊表現(xiàn)為挖礦和自我散布。它利用存在于 Hadoop、Redis 和 ActiveMQ 上的安全漏洞進(jìn)行自我散布，或是感染 Windows 操作系統(tǒng)。例如，當(dāng) Xbash 利用 Redis 漏洞時(shí)，它將首先確定 Redis 服務(wù)是否在 Windows 上運(yùn)行。 如果是，它將發(fā)送惡意 JavaScript 和 VBScript 來(lái)下載并執(zhí)行挖掘程序。

研究人員指出，雖然 Xbash 僵尸網(wǎng)絡(luò)出現(xiàn)在今年5月，但它有四個(gè)不同的版本，這意味著作者正在積極開(kāi)發(fā)該程序，其自我分配能力與 WannaCry 和 NotPetya 非常相似，都能造成了重大損失。向受害者勒索卻無(wú)法恢復(fù)數(shù)據(jù)的行為與 NotPetya 完全相同，企業(yè)需引起注意。

Palo Alto Networks 建議各企業(yè)加大密碼強(qiáng)度，及時(shí)展開(kāi)安全更新，針對(duì) Linux 和 Windows 部署安全措施，避免訪(fǎng)問(wèn)網(wǎng)絡(luò)上的未知主機(jī)，并記得備份和配置有效的恢復(fù)程序。