自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

門羅幣挖礦僵尸網(wǎng)絡(luò)PGMiner瞄準PostgreSQL

作者:Avenger
安全 漏洞 PostgreSQL
Palo Alto Networks Unit 42 的安全研究員發(fā)現(xiàn)了一種基于 Linux 平臺的加密貨幣挖掘僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)利用 PostgreSQL 遠程代碼執(zhí)行(RCE)漏洞來攻陷數(shù)據(jù)庫。

Palo Alto Networks Unit 42 的安全研究員發(fā)現(xiàn)了一種基于 Linux 平臺的加密貨幣挖掘僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)利用 PostgreSQL 遠程代碼執(zhí)行(RCE)漏洞來攻陷數(shù)據(jù)庫。

[[373552]]

據(jù) Palo Alto Networks Unit 42 研究人員的描述,PGMiner 利用 PostgreSQL(也被稱為 Postgres)中的 CVE-2019-9193 漏洞發(fā)起攻擊。這可能是有史以來第一個針對 PostgreSQL 的加密貨幣挖掘僵尸網(wǎng)絡(luò)。


利用漏洞

Unit 42 研究人員在文章中表示:“攻擊者正在利用的 PostgreSQL 功能是'copy from program',該功能于 2013 年 9 月 9 日在 9.3 版中引入的”,“早在 2018 年,針對 CVE-2019-9193 漏洞 PostgreSQL 社區(qū)就存在極大的質(zhì)疑,該漏洞也被標記為“有爭議的”。

他們補充說道:“值得注意的是,惡意軟件攻擊者不僅已開始對確認的漏洞進行武器化,而且還開始對有爭議的漏洞進行武器化”。


該功能允許從本地或遠程在服務(wù)器上運行 Shell 腳本。但是,只要超級用戶或不受信任的用戶都不具有遠程權(quán)限,并且訪問控制和身份驗證系統(tǒng)已進行了正確配置,就不會有風險。另一方面,如果配置不正確,PostgreSQL 也會被通過暴力破解或 SQL 注入等方式獲取超級用戶權(quán)限,這也可以在 PostgreSQL 以外的服務(wù)器上進行遠程代碼執(zhí)行。

攻擊細節(jié)

研究人員表示:“攻擊者會掃描 PostgreSQL 使用的端口 5432(0x1538)”, “惡意軟件會隨機選擇一個網(wǎng)絡(luò)地址段(例如 190.0.0.0、66.0.0.0)開始掃描,以嘗試在 PostgreSQL 服務(wù)器上執(zhí)行遠程代碼。與此同時,會使用數(shù)據(jù)庫的默認用戶 postgres 對內(nèi)置密碼列表(例如 112233 和 1q2w3e4r)進行暴力破解,以攻破數(shù)據(jù)庫身份驗證”。

該報告稱,在以超級用戶身份入侵服務(wù)器后,該惡意軟件會使用“copy from program”功能的 CVE-2019-9193 漏洞下載并啟動挖礦。挖礦程序采用無文件方法,在啟動后立即刪除了 PostgreSQL 的 abroxu 表,重新創(chuàng)建 abroxu 表將 Payload 填充進去,執(zhí)行后清除創(chuàng)建的表。


安裝后,該惡意軟件使用 curl 來執(zhí)行任務(wù)。curl 是用于向服務(wù)器或從服務(wù)器傳輸數(shù)據(jù)的命令行工具。如果受害者的機器上沒有 curl,惡意軟件會嘗試通過多種方法來下載 curl 二進制文件并將其添加到執(zhí)行路徑。


更有趣的是目標 C&C 地址:94.237.85.89。該地址綁定到域名 newt.keetup.com 上。雖然其上級域名 keepup.com 看起來像是一個合法的網(wǎng)站,但該特定子域名會將端口 80 重定向到 443,該端口用于承載名為 newt 的 couchdb。盡管 8080 端口不對外開放,但我們認為它已配置為允許跨域資源共享(CORS)”。


下一步是通過 SOCKS5 代理連接到命令和控制服務(wù)器(C&C)。然后,PGMiner 會收集系統(tǒng)信息,并將其發(fā)送給 C&C 服務(wù)器以識別受害者,以確定應(yīng)下載哪個版本的挖礦程序。

解析了 SOCKS5 代理服務(wù)器的 IP 地址之后,PGMiner 循環(huán)遍歷文件夾列表,找到一個擁有創(chuàng)建新文件并更新其屬性權(quán)限的位置”,“以確保下載的 Payload 可以在失陷服務(wù)器上成功執(zhí)行”。


最后會刪除諸如 Aegis 之類的云安全監(jiān)視工具以及諸如 Yunjing 之類的 Qcloud 監(jiān)視器程序。檢查虛擬機、終止所有其他 CPU 密集型進程與競爭對手的挖礦程序。

PGMiner 的 C&C 服務(wù)器正在不斷更新。不同的模塊分布在不同的 C&C 服務(wù)器上,這一切都表明 PGMiner 仍然在快速迭代發(fā)展。目前攻擊針對 Linux 平臺,但也可以輕松修改為針對 Windows 和 macOS 平臺。

檢查與清除

PostgreSQL 用戶可以從不受信任的用戶中刪除 pg_execute_server_program 權(quán)限,這就使攻擊者無法利用該漏洞。此外,還可以終止 tracepath 進程。

參考來源:

ThreatPost

Palo Alto Network

 

責任編輯:趙寧寧 來源: FreeBuf
僵尸網(wǎng)絡(luò)加密貨幣漏洞
相關(guān)推薦

2021-12-23 14:05:31

態(tài)勢感知/挖礦木馬

2021-04-26 23:27:41

僵尸網(wǎng)絡(luò)漏洞惡意代碼

2021-01-07 10:41:42

GolangWindowsLinux

2018-10-11 08:57:22

2021-08-10 10:37:43

惡意軟件挖礦網(wǎng)絡(luò)攻擊

2021-11-12 16:16:57

僵尸網(wǎng)絡(luò)BotenaGo設(shè)備

2014-04-18 15:31:42

2021-03-02 10:20:31

僵尸網(wǎng)絡(luò)攻擊加密貨幣

2021-10-15 21:24:46

僵尸網(wǎng)絡(luò)漏洞黑客

2022-01-21 16:30:45

比特幣挖礦加密貨幣

2022-06-08 13:11:35

比特幣挖礦區(qū)塊鏈

2018-11-12 10:17:06

隱私保護區(qū)塊鏈網(wǎng)絡(luò)安全

2018-10-15 11:08:23

2015-06-26 10:07:41

2021-02-07 09:27:42

2018-12-04 08:04:57

惡意挖礦網(wǎng)絡(luò)安全攻擊

2024-08-16 18:28:40

2018-01-23 09:55:14

顯卡AMDNVIDIA

2021-07-20 23:12:00

比特幣虛擬貨幣金融

2018-02-23 10:07:04

點贊
收藏

51CTO技術(shù)棧公眾號