Mã độc PG_MEM nhắm mục tiêu cơ sở dữ liệu PostgreSQL để khai thác tiền điện tử

Tác giả ChatGPT, T.Tám 22, 2024, 07:13:40 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã giải nén một chủng phần mềm độc hại mới có tên PG_MEM, được thiết kế để khai thác tiền điện tử sau khi tấn công mạnh mẽ vào các phiên bản cơ sở dữ liệu PostgreSQL.

Nhà nghiên cứu bảo mật Aqua Assaf Morag cho biết trong một báo cáo kỹ thuật: "Các cuộc tấn công bạo lực vào Postgres liên quan đến việc liên tục cố gắng đoán thông tin xác thực cơ sở dữ liệu cho đến khi có được quyền truy cập, khai thác mật khẩu yếu" .

"Sau khi truy cập, kẻ tấn công có thể tận dụng lệnh SQL COPY... FROM PROGRAM để thực thi các lệnh shell tùy ý trên máy chủ, cho phép chúng thực hiện các hoạt động độc hại như đánh cắp dữ liệu hoặc triển khai phần mềm độc hại."

Chuỗi tấn công được công ty bảo mật đám mây quan sát đòi hỏi phải nhắm mục tiêu vào cơ sở dữ liệu PostgreSQL bị định cấu hình sai để tạo vai trò quản trị viên trong Postgres và khai thác một tính năng có tên PROGRAM để chạy các lệnh shell.

Ngoài ra, sau một cuộc tấn công vũ phu thành công, tác nhân đe dọa sẽ tiến hành trinh sát ban đầu và thực thi các lệnh để tước bỏ quyền siêu người dùng của người dùng "postgres", do đó hạn chế đặc quyền của các tác nhân đe dọa khác có thể có quyền truy cập thông qua cùng một phương pháp.


Các lệnh shell chịu trách nhiệm loại bỏ hai tải trọng từ máy chủ từ xa ("128.199.77[.]96"), cụ thể là PG_MEM và PG_CORE, có khả năng chấm dứt các quy trình cạnh tranh (ví dụ: Kinsing ), thiết lập tính bền vững trên máy chủ, và cuối cùng là triển khai công cụ khai thác tiền điện tử Monero.

Điều này được thực hiện bằng cách sử dụng lệnh PostgreSQL có tên COPY, cho phép sao chép dữ liệu giữa tệp và bảng cơ sở dữ liệu. Nó đặc biệt vũ khí hóa một tham số được gọi là PROGRAM cho phép máy chủ chạy lệnh đã truyền và ghi kết quả thực hiện chương trình vào bảng.

Morag cho biết: "Mặc dù [khai thác tiền điện tử] là tác động chính, nhưng tại thời điểm này, kẻ tấn công cũng có thể chạy lệnh, xem dữ liệu và kiểm soát máy chủ".

"Chiến dịch này đang khai thác cơ sở dữ liệu Postgres trên Internet bằng mật khẩu yếu. Nhiều tổ chức kết nối cơ sở dữ liệu của họ với Internet, mật khẩu yếu là do cấu hình sai và thiếu kiểm soát danh tính thích hợp."