XBash All In One Ransomware

Para pengguna windows dan linux di peringatkan kini muncul “all in one “malware yang memiliki kemampuan ransomware, cryptocurrency, miner, botnet.  Malware baru ini dikenal dengan kode Dubbed Xbash, yang dipercaya memiliki kerterkaitan dengan group Rocke / IRON group.

Menurut keterangan dari ahli security Palo Alto Networks yang pertama kali menemukan malwaae tersebut mengatakan bahwa Xbash adalah malware all in one dengan fitur seperti ransomware dan kemampuan “mining” cryptocurrency,  seperti kemampuan worm Wannacry atau Petya / NotPetya.

Xbash di desain mampu melakukan scan terhadap beberapa service yang ada di target misalnya TCP , UDP, HTTP, VNC, MysQl, Telnet, MongoDb, RDp, Oracle, PostgreSQL dll. Setelah didapatkan port yang terbuka, maka malware akan menggunakan metode brute force dengan dictionary attack untuk kemudian menghapus semua database  dan menampilkan ransom note.

Di Operating System Windows, malware ini berjalan sebagai aplikasi mining untuk cryptocurrency dan self propagation. Initial stage seragannya adalah melakukan pengecekan Redis service untuk mengecek apakah target menjalan OS windows atau bukan.  Saat ditemukan sasaran menjalankan OS windows makan malware akan mengirikan Javascript atau VBScript untuk mendownload dan mengeksekusi coinminer for windows.

Baik di windows ataupun linux, setelah sukses menginfeksi mesin sasaran, malware akan berkomunikasi dengan domain induknya yg sudah di hardcoded. Terdeteksi ada 3 traffic yang berjalan pada HTTP yaitu :

  1. Satu untuk fetching list IP address / domain untuk discanning
  2. Satu untuk fetching list weak password
  3. Satu untuk melaporkan hasil scan.

Lakukan langkah langkah berikut ini untuk memproteksi diri anda dari Xbash :

Mengganti credential login pada system anda.

Gunakan kombinasi password yang kuat

Lakukan pacth pada OS

Hindari mendownload file file yang mencurigakan dari sumber yang tidak jelas.

Lakukan backup untuk data anda

Block koneksi yang tak berijin melalui perangkat firewall

Referensi


https://thehackernews.com/2018/09/ransomware-coinmining-botnet.html

https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

https://gbhackers.com/xbash-malware/

https://securityaffairs.co/wordpress/76305/malware/xbash-malware.html

 

 

 

 

 

Edy Susanto|IT Konsultan
Visit Website
  • Edy Susanto Has Completed Training | CISA | CISM| RHCSA | RHCE | CWNA | CWNE | CISSP | ISSEP | VCP DV | CEH | ECSA | CSSA | HEROWARE | SURELINE | QLIKVIEW | ITILv3 | COBIT5 | CSSGB | CTFL | OSCP | Lean Management |CWTS