Ботнет PgMiner атакует слабо защищенные базы данных PostgreSQL
14 декабря 2020 года
Эксперты подразделения Unit 42 компании Palo Alto Networks обнаружили вредоносную кампанию операторов ботнета, нацеленную на базы данных PostgreSQL с целью установки криптовалютного майнера. Ботнет, получивший название PgMiner, осуществляет брутфорс-атаки на слабо защищенные СУБД PostgreSQL.
Ботнет случайным образом выбирает диапазон общедоступной сети (например, 18.xxx.xxx.xxx), а затем перебирает все части этого диапазона IP-адресов в поисках систем, в которых порт PostgreSQL (порт 5432) открыт в Сети. Если PgMiner находит активную систему PostgreSQL, ботнет переходит от фазы сканирования к брутфорс-атакам, в рамках которых он перебирает длинный список паролей в попытке угадать вшитые учетные данные для «postgres», учетной записи PostgreSQL.
Если владельцы базы данных PostgreSQL забыли изменить пароли, хакеры могут получить доступ к базе данных и использовать функцию PostgreSQL COPY from PROGRAM, чтобы расширить свой доступ из приложения базы данных к базовому серверу и перехватить контроль над ОС.
Получив более надежный контроль над зараженной системой, операторы PgMiner развертывают приложение для добычи криптовалюты Monero. По словам экспертов, ботнет имеет возможность развертывать майнеры только на платформах Linux MIPS, ARM и x64.
Операторы PgMiner контролируют зараженных ботов с помощью C&C-сервера, размещенного в сети Tor, а кодовая база ботнета напоминает ботнет SystemdMiner.
Это не первый раз, когда СУБД PostgreSQL используются злоумышленниками для криптомайнинга. В 2018 году злоумышленники атаковали серверы с СУБД PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве «приманки» они использовали изображение голливудской актрисы Скарлетт Йоханссон.
Источники
править| Эта статья содержит материалы из статьи «Ботнет PgMiner атакует слабо защищенные базы данных PostgreSQL», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
