Xbash-malware verwijdert databases op Linux-systemen
Onderzoekers van securitybedrijf Palo Alto Networks hebben naar eigen zeggen nieuwe malware ontdekt die verschillende eigenschappen zoals ransomware en cryptomining combineert en zowel Linux- als Windows-servers aanvalt. In het geval van Linux-systemen kan de malware, die Xbash wordt genoemd, grote gevolgen hebben.
Om toegang tot systemen te krijgen maakt Xbash gebruik van zwakke wachtwoorden en drie en twee jaar oude kwetsbaarheden die niet door beheerders zijn gepatcht. De beveiligingslekken bevinden zich in Hadoop, Redis en ActiveMQ. Wanneer de malware toegang weet te krijgen en op het systeem een MySQL-, MongoDB- of PostgreSQL-database aantreft, zal het die verwijderen.
Vervolgens wordt er een nieuwe database aangemaakt met daarin de melding dat er 0,02 bitcoin moet worden betaald om de database terug te krijgen, wat op het moment 110 euro is. Onderzoekers stellen dat de gebruikte bitcoin-adressen van de aanvallers 48 transacties hebben ontvangen, met een totaalbedrag van 0,964 bitcoin. Dat is op dit moment 5200 euro. Er zijn echter geen aanwijzingen dat slachtoffers na het betalen hun database hebben teruggekregen.
Wanneer Xbash merkt dat het een Windows-systeem heeft geïnfecteerd wordt er een cryptominer geïnstalleerd die het systeem naar cryptovaluta laat delven. Verder werd er in de malware code aangetroffen om intranetten van organisaties te scannen, maar was deze functionaliteit nog niet in Xbash ingeschakeld. Om zich tegen de malware te beschermen krijgen organisaties het advies sterke wachtwoorden te kiezen, beveiligingsupdates te installeren, back-ups te maken en te voorkomen dat systemen verbinding met onbekende hosts op het internet kunnen maken.
1 - zwakke wachtwoorden
2 - belangrijke data(bases) (?) bereikbaar vanaf het internet
3 - geen backup van server en database
4 - databases voor belangrijke data gebruiken (zonder backup)
5 - geen garantie dat de verwijderde database teruggezet zal worden na betaling van het losgeld, want waar moet die vandaan komen?
En blijkbaar is die data meer waard dan de 110 euro die betaald moet worden als losgeld.
En na afloop moet je dan nog steeds je server opnieuw installeeren, want hij is besmet en kwetsbaar. En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.
Dit is dus de kern van het probleem, en iets dat ik vaker zie. Echter wordt dit soort flaws als "schuld van Linux" gezien (wie de schoen past trekt 'm maar aan, you know who you are!), maar dit is dus gewoon een schoolvoorbeeld van ongehoord slecht beheer. Hanteer je sterke wachtwoorden en blijf je bij met je updates, dan is er niet zoveel aan de hand. Maar tja, als je "admin" of "12345" als wachtwoord gebruikt èn bovendien niet tijdig patcht, dan is het een kwestie van tijd dat dit gebeurt.
Daarnaast kan deze malware niets beginnen tegen systemen die volledig gepatcht zijn en gebruik maken van sterke wachtwoorden waardoor het vrij makkelijk is je systemen te beschermen tegen deze Xbash.
Alles valt en staat dus op het tijdig patchen en het gebruik van een sterk wachtwoord. Een gepatchte Linux waarbij je ook een goed wachtwoord gebruikt is dus niet in gevaar. Dat is weer goed nieuws. Bij Windows maak ik me meer zorgen vanwege het gegeven dat ze maar één keer per maand Windows voorzien van updates.
Alles valt en staat dus op het tijdig patchen en het gebruik van een sterk wachtwoord. Een gepatchte Linux waarbij je ook een goed wachtwoord gebruikt is dus niet in gevaar. Dat is weer goed nieuws. Bij Windows maak ik me meer zorgen vanwege het gegeven dat ze maar één keer per maand Windows voorzien van updates.
Geheel eens met je laatste opmerking. Het is een ernstige veiligheidsissue en volstrekte kolder als je van je OS-bouwer (in dit specifieke geval Windows) maar één keer in de maand wordt bediend met (al dan niet kritische) updates. Welke idioot dát verzonnen heeft? Die zouden ze een schop onder zijn hol moeten verkopen.
En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.
Je moet er van uit gaan dat 80% van de mensheid een 'domme koe' is, dan verbaast je toch niets meer?
En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.
Je moet er van uit gaan dat 80% van de mensheid een 'domme koe' is, dan verbaast je toch niets meer?
Klopt: ca. 80% van de mensheid heeft een IQ lager dan 110 (SD 15). En dat verklaart meteen waarom zoveel mensen Windows gebruiken.
En ik vraag me af of deze beheerders daar de kennis wel voor hebben, aangexzien de servers al niet goed beveiligd waren.
Je moet er van uit gaan dat 80% van de mensheid een 'domme koe' is, dan verbaast je toch niets meer?
Klopt: ca. 80% van de mensheid heeft een IQ lager dan 110 (SD 15). En dat verklaart meteen waarom zoveel mensen Windows gebruiken.
Met het continue herhalen van dit soort opmerkingen zet jij complete groepen weg als dom, discirimineren heet dat.
Volledig tegen de policy van security.nl in en ik stel dan ook voor dat de mod's je een waarschuwing geven en bij herhaling je account intrekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
