本月，Palo Alto Networks的安全研究人员发现了一种新的恶意软件，被称为Xbash，主要针对Linux和Microsoft Windows服务器。恶意代码结合了不同恶意软件的功能，如勒索软件，挖矿软件，僵尸网络和蠕虫。在被感染的Linux系统中发现了僵尸网络和勒索软件功能，而在被感染的Windows服务器中则发现了挖矿行为。

参考链接：https://securityaffairs.co/wordpress/76305/malware/xbash-malware.html

恶意软件Xbash

Xbash是使用Python开发的，恶意软件作者通过滥用合法工具PyInstaller进行分发，转换为自包含的Linux ELF可执行文件。恶意代码结合了不同恶意软件的功能，如勒索软件，加密货币挖矿软件，僵尸网络和蠕虫。Xbash拥有勒索软件的核心功能，同时还具有自传播性（意味着它具有类似于WannaCry或Petya/NotPetya的蠕虫特征）。

据悉，该恶意软件来源于一个被追踪为Iron Group的网络犯罪团伙。Iron Group自2016年以来一直保持活跃，以Iron勒索软件而被广为知晓，多年来它构建了各种恶意软件，包括后门，加密货币挖矿软件和勒索软件，同时针对移动和桌面系统。

据发现该恶意软件的研究人员表示，Xbash主要利用了Hadoop、Redis（和ActiveMQ中的三个已知漏洞来实现自我传播或感染目标服务器，三个漏洞分别是：

1、 Hadoop YARN Resource Manager未经身份验证的命令执行漏洞，于2016年10月首次披露，未分配CVE编号。

2、 Redis任意文件写入和远程命令执行漏洞，于2015年10月首次公开，未分配CVE编号。

3、 ActiveMQ任意文件写入漏洞，CVE-2016-3088。

研究人员表示，他们在 Xbash 样本中观察到三种不同的比特币钱包地址。并且自2018年5月以来，截止他们发布报告时间，这些钱包共产生了48笔交易，总收入约为0.964比特币（约6,000美元）。

更多信息参考以下链接中Palo Alto Networks分析报告。

参考链接：

https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

临时解决方案

恶意软件用于自我传播所利用的漏洞分别影响Hadoop、Redis、ActiveMQ三款软件。

针对Hadoop，如果仅在内网提供服务，建议不要将Hadoop端口发布到互联网上。并且请根据实际情况及时进行更新，Hadoop在2.X以上版本提供了安全认证功能，加入了Kerberos认证机制，建议启用该功能。

针对暴露在公网的Redis，如果没有开启相关认证和添加相关安全策略则可能受影响而导致被利用。建议对 Redis开启密码认证，并且添加 IP 访问限制。

针对Active MQ，受漏洞影响版本为5.0.0 至 5.13.x，存在漏洞的ActiveMQ Fileserver 功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。

信息整理：郑州市网络安全协会

信息来源：北京神州绿盟信息安全科技股份有限公司