image

Xbash-malware verwijdert databases op Linux-systemen

woensdag 19 september 2018, 13:59 door Redactie, 7 reacties

Onderzoekers van securitybedrijf Palo Alto Networks hebben naar eigen zeggen nieuwe malware ontdekt die verschillende eigenschappen zoals ransomware en cryptomining combineert en zowel Linux- als Windows-servers aanvalt. In het geval van Linux-systemen kan de malware, die Xbash wordt genoemd, grote gevolgen hebben.

Om toegang tot systemen te krijgen maakt Xbash gebruik van zwakke wachtwoorden en drie en twee jaar oude kwetsbaarheden die niet door beheerders zijn gepatcht. De beveiligingslekken bevinden zich in Hadoop, Redis en ActiveMQ. Wanneer de malware toegang weet te krijgen en op het systeem een MySQL-, MongoDB- of PostgreSQL-database aantreft, zal het die verwijderen.

Vervolgens wordt er een nieuwe database aangemaakt met daarin de melding dat er 0,02 bitcoin moet worden betaald om de database terug te krijgen, wat op het moment 110 euro is. Onderzoekers stellen dat de gebruikte bitcoin-adressen van de aanvallers 48 transacties hebben ontvangen, met een totaalbedrag van 0,964 bitcoin. Dat is op dit moment 5200 euro. Er zijn echter geen aanwijzingen dat slachtoffers na het betalen hun database hebben teruggekregen.

Wanneer Xbash merkt dat het een Windows-systeem heeft geïnfecteerd wordt er een cryptominer geïnstalleerd die het systeem naar cryptovaluta laat delven. Verder werd er in de malware code aangetroffen om intranetten van organisaties te scannen, maar was deze functionaliteit nog niet in Xbash ingeschakeld. Om zich tegen de malware te beschermen krijgen organisaties het advies sterke wachtwoorden te kiezen, beveiligingsupdates te installeren, back-ups te maken en te voorkomen dat systemen verbinding met onbekende hosts op het internet kunnen maken.

Reacties (7)
19-09-2018, 14:23 door Anoniem
Dus:
1 - zwakke wachtwoorden
2 - belangrijke data(bases) (?) bereikbaar vanaf het internet
3 - geen backup van server en database
4 - databases voor belangrijke data gebruiken (zonder backup)
5 - geen garantie dat de verwijderde database teruggezet zal worden na betaling van het losgeld, want waar moet die vandaan komen?

En blijkbaar is die data meer waard dan de 110 euro die betaald moet worden als losgeld.
En na afloop moet je dan nog steeds je server opnieuw installeeren, want hij is besmet en kwetsbaar. En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.
19-09-2018, 21:52 door [Account Verwijderd]
Om toegang tot systemen te krijgen maakt Xbash gebruik van zwakke wachtwoorden en drie en twee jaar oude kwetsbaarheden die niet door beheerders zijn gepatcht.

Dit is dus de kern van het probleem, en iets dat ik vaker zie. Echter wordt dit soort flaws als "schuld van Linux" gezien (wie de schoen past trekt 'm maar aan, you know who you are!), maar dit is dus gewoon een schoolvoorbeeld van ongehoord slecht beheer. Hanteer je sterke wachtwoorden en blijf je bij met je updates, dan is er niet zoveel aan de hand. Maar tja, als je "admin" of "12345" als wachtwoord gebruikt èn bovendien niet tijdig patcht, dan is het een kwestie van tijd dat dit gebeurt.
20-09-2018, 11:39 door Anoniem
Uit een ander artikel op een andere website:

Citaat:
Daarnaast kan deze malware niets beginnen tegen systemen die volledig gepatcht zijn en gebruik maken van sterke wachtwoorden waardoor het vrij makkelijk is je systemen te beschermen tegen deze Xbash.

Alles valt en staat dus op het tijdig patchen en het gebruik van een sterk wachtwoord. Een gepatchte Linux waarbij je ook een goed wachtwoord gebruikt is dus niet in gevaar. Dat is weer goed nieuws. Bij Windows maak ik me meer zorgen vanwege het gegeven dat ze maar één keer per maand Windows voorzien van updates.
21-09-2018, 01:48 door [Account Verwijderd]
Door Anoniem, 20-09-2018 om 11:39 uur:
Alles valt en staat dus op het tijdig patchen en het gebruik van een sterk wachtwoord. Een gepatchte Linux waarbij je ook een goed wachtwoord gebruikt is dus niet in gevaar. Dat is weer goed nieuws. Bij Windows maak ik me meer zorgen vanwege het gegeven dat ze maar één keer per maand Windows voorzien van updates.

Geheel eens met je laatste opmerking. Het is een ernstige veiligheidsissue en volstrekte kolder als je van je OS-bouwer (in dit specifieke geval Windows) maar één keer in de maand wordt bediend met (al dan niet kritische) updates. Welke idioot dát verzonnen heeft? Die zouden ze een schop onder zijn hol moeten verkopen.
21-09-2018, 12:19 door Anoniem
Door Anoniem: Dus:
En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.

Je moet er van uit gaan dat 80% van de mensheid een 'domme koe' is, dan verbaast je toch niets meer?
22-09-2018, 07:05 door -karma4 - Bijgewerkt: 22-09-2018, 07:06
Door Anoniem:
Door Anoniem: Dus:
En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.

Je moet er van uit gaan dat 80% van de mensheid een 'domme koe' is, dan verbaast je toch niets meer?

Klopt: ca. 80% van de mensheid heeft een IQ lager dan 110 (SD 15). En dat verklaart meteen waarom zoveel mensen Windows gebruiken.
23-09-2018, 18:57 door Anoniem
Door The FOSS:
Door Anoniem:
Door Anoniem: Dus:
En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.

Je moet er van uit gaan dat 80% van de mensheid een 'domme koe' is, dan verbaast je toch niets meer?

Klopt: ca. 80% van de mensheid heeft een IQ lager dan 110 (SD 15). En dat verklaart meteen waarom zoveel mensen Windows gebruiken.

Met het continue herhalen van dit soort opmerkingen zet jij complete groepen weg als dom, discirimineren heet dat.
Volledig tegen de policy van security.nl in en ik stel dan ook voor dat de mod's je een waarschuwing geven en bij herhaling je account intrekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.