PgMiner 僵尸網絡攻擊 ostgreSQL 數據庫,獲取高額利潤
到目前為止,只有在Linux服務器上運行的postgresql數據庫受到了攻擊。
安全研究人員本周發現了一個針對PostgreSQL數據庫的僵尸網絡操作,以安裝一個加密貨幣礦工。
該僵尸網絡由研究人員代號 PgMiner,只是一長串針對網絡技術牟取利潤的最新網絡犯罪活動中的最新形式。
根據Palo Alto Networks 42部門的研究人員所說,僵尸網絡的運作方式是對可上網的PostgreSQL數據庫進行暴力攻擊。
攻擊遵循簡單的模式。
僵尸網絡隨機選擇一個公共網絡范圍(例如18.xxx.xxx.xxx),然后遍歷該范圍的所有IP地址,以搜索具有PostgreSQL端口(端口5432)在線公開的系統。
如果PgMiner找到了活動的PostgreSQL系統,則僵尸網絡將從掃描階段移至暴力破解階段,在僵尸網絡階段,它會拖曳一長串密碼以嘗試猜測默認的PostgreSQL帳戶“postgres”的憑據。
如果PostgreSQL數據庫所有者忘記了禁用該用戶或忘記了更改密碼,黑客將訪問數據庫并使用PostgreSQL從PROGRAM復制功能將他們的訪問權限從數據庫應用程序升級到底層服務器,并接管整個操作系統。
一旦他們對被感染的系統有了更牢固的控制,PgMiner團隊將部署一個硬幣挖掘應用程序,并嘗試在被檢測到之前挖掘盡可能多的Monero加密貨幣。
根據Unit 42的報告,僵尸網絡只能在Linux MIPS,ARM和x64平臺上部署礦工。
PgMiner僵尸網絡的其他顯著功能包括以下事實:其運營商已經通過Tor網絡上托管的命令和控制(C2)服務器來控制受感染的僵尸,并且僵尸網絡的代碼庫似乎與SystemdMiner僵尸網絡相似。
圖片:Palo Alto Networks
PgMiner標志著硬幣礦工第二次以PostgreSQL數據庫為目標,2018年曾出現過由StickyDB僵尸網絡實施的類似攻擊。
過去,加密采礦僵尸網絡也將目標鎖定為其他數據庫技術,包括MySQL,MSSQL,Redis和OrientDB。
