Исследователи из Imperva обнаружили новую криптоджекинг-кампанию — на сей раз злоумышленники атакуют СУБД PostgreSQL. При этом для сокрытия целевого майнера они загружают его на сервер довеском к фотографии Скарлетт Йоханссон.

Вначале атакующие, по словам экспертов, получают доступ к учетной записи пользователя базы данных PostgreSQL. Затем они загружают на диск полезную нагрузку, используя функцию lo_export — подобно тому, как это делает Metasploit-модуль PostgreSQL, созданный для упрощения взаимодействия с операционной системой. Во избежание обнаружения средствами мониторинга эта функция вызывается не напрямую, а через объект, вносимый с этой целью в каталог pg_proc.

Расширив таким образом доступ, злоумышленники получают возможность удаленно выполнять команды в локальной системе. Прежде всего они проводят разведку, выясняя характеристики ЦП и графического процессора-ускорителя.

Если эти данные удовлетворяют нуждам криптомайнинга, на машину с легитимного файлообменника imagehousing.com загружается png-файл с прелестным фото голливудской звезды. Анализ полезной нагрузки показал, что она имеет бинарный формат, притом к данным изображения добавлен майнер. По свидетельству Imperva, подобный трюк позволил авторам атаки не менять расширение, с тем чтобы файл успешно загрузился на imagehousing.com.

Майнер, спрятанный в изображение, загружается на сервер с помощью команды wget; извлечение исполняемого кода осуществляется через Linux-утилиту dd, предназначенную для копирования данных. Для нового файла задается полный набор прав, и при запуске этого процесса создается еще один исполняемый файл — майнер Monero. После использования все следы сторонней загрузки в систему подчищаются.

Как оказалось, по состоянию на 13 марта взломщикам удалось добыть более 312,5 XMR — свыше 90 тыс. в долларовом эквиваленте (сейчас курс заметно ниже).

Imperva известила imagehousing.com о злоупотреблении, и фото с внедренным майнером уже удалено с этого сервиса. Тем не менее, нет гарантии, что этот файл не перекочует на другой веб-хостинг.

Поиск через Shodan обнаружил в Сети около 710 тыс. открытых серверов PostgreSQL. В связи с этим эксперты советуют ограничить доступ лишь хостами, взаимодействующими с базой данных, ввести блокировку исходящего трафика на сетевом экране и контроль вызовов функции lo_export, а также усилить пароль для дефолтного пользователя postgres во избежание атаки брутфорсом.

В заключение стоит отметить, что взлом открытых серверов с целью скрытного криптомайнинга стал приобретать масштабы эпидемии. За последние месяцы любители быстрой наживы провели массовые атаки на Redis, OrientDB, Oracle WebLogic, Windows Server, Apache Solr, Jenkins и другие непропатченные и неправильно сконфигурированные серверы — иногда даже по нескольку раз и разными методами.

Категории: Аналитика, Вредоносные программы, Уязвимости, Хакеры