s0341-xbash - RunkIntel

# Xbash > Tipo: **malware** · S0341 · [MITRE ATT&CK](https://attack.mitre.org/software/S0341) ## Descrição [[s0341-xbash|Xbash]] é uma família de malware multiplataforma (Windows e Linux) associada ao Iron Group, grupo de ameaça chinês com histórico de ataques de ransomware. O malware foi desenvolvido em Python e convertido em executáveis autocontidos usando PyInstaller - no Linux como ELF e no Windows como PE - tornando-o facilmente portável entre plataformas sem dependências externas. O Xbash combina múltiplas capacidades maliciosas num único binário: funcionalidade de botnet, cryptomining, ransomware e worm auto-propagante. O componente worm realiza varredura de rede para descobrir serviços expostos (Redis, MySQL, MongoDB, Elasticsearch) e aplica força bruta de senha para comprometê-los, sendo especialmente eficaz contra serviços mal configurados ou com senhas padrão expostos na internet. O ransomware destrói dados em vez de criptografá-los, e o componente de cryptomining garante monetização continuada do acesso. A combinação de ransomware destrutivo com cryptomining e propagação automática torna o Xbash especialmente perigoso para ambientes com serviços expostos: o malware se propaga automaticamente, destrói dados em bancos de dados vulneráveis, e usa os recursos computacionais para mineração de criptomoedas, gerando impacto em múltiplas dimensões simultaneamente. **Plataformas:** Windows, Linux ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Detecção A detecção do Xbash deve focar em: varredura de rede interna originada de servidores (especialmente varredura de portas Redis, MongoDB, Elasticsearch), tentativas de força bruta em serviços de banco de dados, execução de binários Python compilados (PyInstaller) não reconhecidos, e jobs Cron ou Run Keys criados por processos suspeitos. Monitoramento de tráfego de saída para pools de cryptomining é também um indicador relevante de infecção. ## Relevância LATAM/Brasil O Xbash é particularmente relevante para o Brasil e América Latina, onde serviços de banco de dados mal configurados e expostos na internet são uma ocorrência comum. Instâncias Redis, MongoDB e Elasticsearch expostas sem autenticação foram documentadas em incidentes brasileiros repetidamente. O componente worm do Xbash pode causar destruição generalizada de dados em bancos de dados mal protegidos, um risco concreto para organizações brasileiras que não seguem práticas básicas de segurança de configuração para serviços de dados. ## Referências - [MITRE ATT&CK - S0341](https://attack.mitre.org/software/S0341)