Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Злоумышленники атакуют серверы баз данных PostgreSQL, загружая майнер довеском к фото звезды Голливуда.
злоумышленники атакуют СУБД PostgreSQL. При этом для сокрытия целевого майнера они загружают его на сервер довеском к фотографии Скарлетт Йоханссон.
Вначале атакющие, по словам экспертов, получают доступ к учетной записи пользователя базы данных PostgreSQL. Затем они загружают на диск полезную нагрузку, используя функцию lo_export — подобно тому, как это делает Metasploit-модуль PostgreSQL, созданный для упрощения взаимодействия с операционной системой. Во избежание обнаружения средствами мониторинга эта функция вызывается не напрямую, а через объект, вносимый с этой целью в каталог pg_proc.
Расширив таким образом доступ, злоумышленники получают возможность удаленно выполнять команды в локальной системе. Прежде всего они проводят разведку, выясняя характеристики ЦП и графического процессора-ускорителя.
Если эти данные удовлетворяют нуждам криптомайнинга, на машину с легитимного файлообменника imagehousing.com загружается png-файл с прелестным фото голливудской звезды. Анализ полезной нагрузки показал, что она имеет бинарный формат, притом к данным изображения добавлен майнер. По свидетельству Imperva, подобный трюк позволил авторам атаки не менять расширение с тем, чтобы файл успешно загрузился на imagehousing.com.
Майнер, спрятанный в изображение, загружается на сервер с помощью команды wget; извлечение исполняемого кода осуществляется через Linux-утилиту dd, предназначенную для копирования данных. Для нового файла задается полный набор прав, и при запуске этого процесса создается еще один исполняемый файл — майнер Monero. После использования все следы сторонней загрузки в систему подчищаются.
Как оказалось, по состоянию на 13 марта взломщикам удалось добыть более 312,5 XMR — свыше 90 тыс. в долларовом эквиваленте (сейчас курс заметно ниже).
Imperva известила imagehousing.com о злоупотреблении, и фото с внедренным майнером уже удалено с этого сервиса. Тем не менее, нет гарантии, что этот файл не перекочует на другой веб-хостинг.
Поиск через Shodan обнаружил в Сети около 710 тыс. открытых серверов PostgreSQL. В связи с этим эксперты советуют ограничить доступ лишь хостами, взаимодействующими с базой данных, ввести блокировку исходящего трафика на сетевом экране и контроль вызовов функции lo_export, а также усилить пароль для дефолтного пользователя postgres во избежание атаки брутфорсом.
В заключение стоит отметить, что взлом открытых серверов с целью скрытного криптомайнинга стал приобретать масштабы эпидемии. За последние месяцы любители быстрой наживы провели массовые атаки на Redis, OrientDB, Oracle WebLogic, Windows Server, Apache Solr, Jenkins и другие непропатченные и неправильно сконфигурированные серверы — иногда даже по нескольку раз и разными методами.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |