Xbash, de volgende generatie malware

Technologische ontwikkelingen gaan razendsnel, maar niet iedere ontwikkeling is een goede. Er is een nieuwe en zeer complexe malware opgedoken die zowel Windows als Linux aanvalt en ook de mogelijkheid heeft om in de toekomst MacOS aan te vallen.

Deze nieuwste bedreiging is gevonden door Unit 42 van Palo Alto Networks en heeft de naam Xbash gekregen. De malware wordt toegeschreven aan de infameuze cybercrime-organisatie Iron Group. Het combineert het opzetten van een botnet, coin-mining, ransomware en kan zichzelf verspreiden. Het valt Linux-systemen aan met zijn ransomware- en botnet-mogelijkheden. Het valt Windows-systemen aan met zijn coin-mining- en verspreidingsmogelijkheden.

Wat wij hebben gedaan

Niemand behalve technische medewerkers van 1A heeft toegang tot de console van de 1A-servers. Dit maakt de kans dat deze geïnfecteerd kan raken vrijwel nihil. Twee van de drie database-soorten die worden aangevallen door Xbash draaien wel op de 1A-servers, maar zijn standaard niet beschikbaar op het netwerk en zijn daardoor niet kwetsbaar hiervoor. Van deze databases wordt bovendien elke dag een backup gemaakt, ongeacht het abonnement.

Daarnaast is op de 1A-server de software wwwfilter beschikbaar. Deze blokkeert verzoeken naar de geregistreerde adressen voor alle apparaten achter de 1A-server aan de hand van verschillende lijsten. De lijst ‘FASEC’ wordt door ons beheerd. Daaraan hebben wij recent de categorie ‘malware’ toegevoegd, waarin de bekende adressen van Xbash zijn opgenomen.

Wat kun je zelf doen?

Bescherming tegen deze malware is niet anders dan voor andere malware. Gebruik altijd sterke, niet-standaard wachtwoorden. Kun je ze echt niet onthouden? Dan kun je ervoor kiezen om een wachtwoordkluis te gaan gebruiken, zoals LastPass, of andere soortgelijke oplossingen. Installeer altijd de laatste beveiligingsupdates en zorg voor recente, bijgewerkte virusscanners op alle apparaten. Zorg ook voor adequate back-up die meerdere periodes teruggaat (de zogenaamde retentie), zoals onze Rsnapshot back-ups.

Als je wwwfilter nog niet gebruikt, vraag je 1A-partner deze aan te zetten. Deze functionaliteit is onderdeel van het standaard 1A-support-abonnement en brengt geen extra kosten met zich mee. Wanneer dit is aangezet, kun je in de 1A-manager (internet > wwwfilter) de FASEC/malware lijst activeren. Het is overigens aan te raden om FASEC/phishtank ook te activeren. Phishing is een dusdanig groot probleem dat we daar een hele pagina aan gewijd hebben.

Zeer belangrijk is ook om nooit in te gaan op verzoeken tot losgeld. Vaak levert dit niets op en het stimuleert cybercriminelen alleen maar om meer te investeren in malware.

Technische samenvatting

De software is geschreven in de programmeertaal Python, wat verdere ontwikkeling relatief eenvoudig maakt. Er wordt dan ook verwacht dat de malware verder zal evolueren. Doordat de software met het legitieme PyInstaller wordt verpakt tot een uitvoerbaar bestand, heeft het verder geen afhankelijkheden. Tot op heden wordt dit alleen voor Linux gedaan, maar kan hiermee theoretisch ook eenvoudig naar Windows en MacOS worden gebracht.

De malware valt andere Linux- en Windows-systemen aan over het netwerk en maakt daarbij gebruik van een lijst met zwakke wachtwoorden en bekende kwetsbaarheden. Het is onderverdeeld in een aantal componenten:

  • Het ransomware-component valt MySQL, PostgreSQL and MongoDB databases aan en probeert deze te verwijderen. Er wordt een database aangemaakt met een losgeldbericht erin. Er wordt gesteld dat de databases zijn geback-upt en dat ze hersteld worden na betaling van het losgeld, maar dat blijkt een leugen te zijn.
  • Het botnet-component maakt de server ontvankelijk voor commando’s vanaf de servers van de criminelen. Ze kunnen dan ingezet worden voor allerlei illegale activiteiten, zoals verdere verspreiding van malware, maar ook aanvallen op andere servers.
  • Het coin-mining-component doet niets anders dan crypto-currency opleveren voor digitale portemonnee van de criminelen.
  • De verspreidingsmogelijkheden maken misbruik van bekende kwetsbaarheden in een aantal softwarepakketten.

Het onderzoeksverslag is te vinden op de website van Palo Alto.

Auteur

Richard de Vroede

Een perfectionistische alleskunner die al zijn passie in zijn werk gooit.

Facebooktwittergoogle_pluslinkedin

Facebooklinkedinrssyoutube