网络安全研究人员解开了一种名为 PG_MEM 的新恶意软件,该恶意软件旨在在强行进入 PostgreSQL 数据库实例后挖掘加密货币。
“对Postgres的暴力攻击涉及反复尝试猜测数据库凭据,直到获得访问权限,利用弱密码,”Aqua安全研究员Assaf Morag在一份技术报告中说。
“一旦访问,攻击者就可以利用 COPY ……FROM PROGRAM SQL 命令在主机上执行任意 shell 命令,允许它们执行恶意活动,例如数据盗窃或部署恶意软件。
这家云安全公司观察到的攻击链需要针对配置错误的PostgreSQL数据库,以在Postgres中创建管理员角色,并利用名为PROGRAM的功能来运行shell命令。
此外,在成功的暴力攻击之后,威胁参与者会进行初始侦察并执行命令以剥夺“postgres”用户的超级用户权限,从而限制可能通过相同方法获得访问权限的其他威胁参与者的权限。
shell 命令负责从远程服务器删除两个有效负载 (“128.199.77[.]96“),即 PG_MEM 和 PG_CORE,它们能够终止竞争进程(例如,Kinsing),在主机上设置持久性,并最终部署门罗币加密货币矿工。
这是通过使用名为 COPY 的 PostgreSQL 命令来实现的,该命令允许在文件和数据库表之间复制数据。它特别武器化了一个称为 PROGRAM 的参数,该参数使服务器能够运行传递的命令并将程序执行结果写入表中。
“虽然[加密货币挖掘]是主要影响,但此时攻击者也可以运行命令、查看数据和控制服务器,”莫拉格说。
“该活动正在利用具有弱密码的面向互联网的Postgres数据库。许多组织将其数据库连接到互联网,弱密码是配置错误和缺乏适当身份控制的结果。
发表评论
您还未登录,请先登录。
登录