محققان از کشف باتنتی خبر دادهاند که با رخنه به پایگاههای داده PostgreSQL، یک استخراجکننده ارز رمز بر روی سرور میزبان آنها نصب میکند.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت zdnet، باتنت مذکور که از آن با عنوان PgMiner یاد شده یکی از جدیدترین تهدیداتی است که فناوریهای وب را با انگیزههای مالی مورد حمله قرار میدهد.
بر اساس گزارشی که شرکت پالوآلتو نتورکز آن را منتشر کرده این باتنت (Botnet) با بهرهگیری از تکنیک سعیوخطا (Brute-force) بانکهای داده PostgreSQL را که بر روی اینترنت قابل دسترس قرار گرفتهاند هک میکند.
حمله PgMiner از یک الگوی ساده پیروی میکند.
باتنت بهصورت تصادفی دامنهای از نشانیهای IP عمومی (Public) را انتخاب کرده و باز بودن درگاه ۵۴۳۲ را که درگاه متداول PostgreSQL است بر روی آنها بررسی میکند.
در صورت یافتن یک سیستم فعال PostgreSQL، باتنت از مرحله پویش وارد مرحله Brute-force شده و بر اساس فهرستی بلندبالا از رمزهای عبور برای کشف اطلاعات اصالتسنجی postgres (حساب کاربری پیشفرض در PostgreSQL) تلاش میکند.
حال در صورتی که راهبران بانک داده، غیرفعالسازی این حساب کاربری یا حداقل تخصیص رمزی پیچیده به آن را فراموش کرده باشند، مهاجمان موفق به دستیابی به بانک داده و استفاده از قابلیت COPY from PROGRAM در PostgreSQL برای ترفیع دامنه دسترسی خود از بانک داده به سرور و در ادامه کل سیستم عامل خواهند شد.
بهمحض آنکه دسترسی مهاجمان بر روی سیستم آلوده فراهم شد برنامهای را برای استخراج ارز رمز Monero بر روی آن توزیع میکنند.
در زمان انتشار گزارش پالوآلتو نتورکز، باتنت توانایی توزیع ابزارهای استخراجکننده را تنها بر روی بسترهای Linux MIPS، ARM و x۶۴ دارد.
از دیگر ویژگیهای باتنت PgMiner میتوان به قرار داشتن سرور فرماندهی (C۲) آن در شبکه Tor اشاره کرد. به نظر میرسد که کد پایه از باتنت SystemdMiner الگوبرداری شده است.
PgMiner دومین تهدیدی است که بانکهای داده PostgreSQL را هدف قرار میدهد. پیشتر در سال ۲۰۱۸ نیز باتنت StickyDB حملهای مشابه را اجرا کرده بود.
MySQL، MSSQL، Redis و OrientDB از دیگر فناوریهای بانک دادهای هستند که حداقل در مقاطعی هدف باتنتهای استخراجکننده ارز رمز قرار گرفتهاند.
مشروح گزارش پالوآلتو نتورکز در لینک زیر قابل دریافت و مطالعه است:
https://unit۴۲.paloaltonetworks.com/pgminer-postgresql-cryptocurrency-mining-botnet/
نشانههای آلودگی (IoC)
منبع:
https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/
دیدگاه شما