The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака по майнингу криптовалюты на незащищённых серверах PostgreSQL

16.03.2018 08:41

Исследователи из компании Imperva, поддерживающей honeypot с незащищёнными и уязвимыми СУБД для изучения атак на них, сообщили о выявлении вредоносной активности, нацеленной на организацию скрытого майнинга криптовалюты через СУБД PostgreSQL. Атака интересна тем, что вредоносный код для майнинга загружается с использованием методов стеганографии и спрятан в PNG-изображении.

Для выполнения вредоносного кода в PostgreSQL добавлялась написанная на языке Си UDF-функция (User-defined function) sys_eval, позволяющая выполнить в системе любой код (передаёт входные параметры в вызовы system или popen). Для добавления функции в системный каталог PostgreSQL скомпилированный код передавался в виде Large Object с его дальнейшим экспортом в файл при помощи вызова lo_export.

В ходе атаки данная UDF-функция была использована для выполнения команд в системе при помощи вызова "SELECT sys_eval('код')", используя PostgreSQL в качестве бэкдора или SQL-Shell. После получения контроля над сервером с PostgreSQL и установки UDF-функции sys_eval атакующие загружали картинку с публичного хостинга изображений imagehousing.com, извлекали скрытый в картинке код для майнинга криптовалюты Monero (XMR) и запускали его. В настоящее время, в используемом в ходе атаки кошельке накопилось 312.5 XMR, что по сегодняшнему курсу соответствует 65 тысячам долларов США (неделю назад было $117 тысяч).

Сообщается, что для получения доступа к СУБД осуществлялся подбор пароля (brute force) для учётной записи postgres, создаваемой по умолчанию. Судя по всему, атака носит целевой характер и направлена на поражение какого-то облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением некорректных с точки зрения безопасности настроек. Например, поисковая система Shodan находит более 709 тысяч PostgreSQL-серверов с открытым сетевым портом 5432, из которых 80 тысяч предоставляются Amazon AWS. Также возможно, что атака используется для организации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости в другом сервисе или web-приложении с эскалацией привилегий) и использующих PostgreSQL как точку для получения скрытого доступа извне.

Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к СУБД PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системную директорию или необходимо изменение настроек PostgreSQL (т.е. для атаки нужны полномочия администратора СУБД). Также не исключено, что атака может производиться и через серверы MySQL, так как аналогичная вредоносная UDF-функция на языке Си доступна и для данной СУБД.

  1. Главная ссылка к новости (https://www.imperva.com/blog/2...)
  2. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
  3. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
  4. OpenNews: Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют
  5. OpenNews: Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями
  6. OpenNews: Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48269-postgresql
Ключевые слова: postgresql, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:45, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +35 +/
    включаю ютуб, а там майнер. Включаю постгрес, а там тоже майнер. Уже боюсь утюг включать.
     
     
  • 2.2, A.Stahl (ok), 10:47, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Ага, а как включишь майнер в попытке намайнить хоть что-то, так он тебе тупо греет процессор и толку 0.
     
     
  • 3.3, Аноним (-), 10:51, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +20 +/
    вся суть современного IT
     
  • 3.36, rvs2016 (ok), 19:42, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот утюг как раз таки греется честно!
     
     
  • 4.37, PukkuTukkuTaBu (?), 22:22, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто жрать электричество и честно греть сейчас не модно.
    Нагревание сейчас побочный продукт разнообразной фигни
     
     
  • 5.40, Аноним (-), 00:09, 17/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, надо срочно делать процы для майнинга, которые бы переносили нагрев до 200 градусов! Жена гладит, а ты - деньги зарабатываешь! :)
     
     
  • 6.43, Bicycle (ok), 01:11, 17/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отличная идея:
    1. Делаем смарт-утюг (ASIC) с Wi-Fi;
    2. При первом включении утюг поднимает свой хотспот, покупатель к нему подключается и настраивает под свои нужды (что именно хотим майнить, выбираем майнинговый пул и т.п.);
    4. Напомним покупателю на всякий случай, чтобы он не был дураком и чтобы он не забыл перевести утюг из режима точки доступа в режим клиента, предварительно указав точку и пароль к ней;
    3. Как только утюг включается в сеть - он начинает майнить и вырабатывать тепло в качестве побочного эффекта. Жена гладит, а электричество окупается, ещё и сложность сети поддерживается;
    4. ??????
    5. PROFIT! Все довольны.

    Само собой, никто таким бредом заниматься не будет. Верно?... Погодите... Ох б~~... https://goo.gl/jAoAxR

     
  • 2.6, EuPhobos (ok), 10:58, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты ещё про спикеры и наушники забыл, а то смотри, через звук майнер залетит)
     
     
  • 3.23, Аноним (-), 12:33, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Майнить будет подсознание :)
     
  • 2.8, An (??), 11:06, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А с учётом предыдущей темы скоро в и утюгах, и  в холодильниках будет.
     
  • 2.9, Аноним (-), 11:17, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Он от этого только нагреется... А это основная функция утюга!11
     
     
  • 3.30, Аноним (-), 13:39, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Он от этого только нагреется... А это основная функция утюга!11

    Утюг с майнером? Да это прекрасная идея для стартапа!

     
     
  • 4.31, Andrey Mitrofanov (?), 14:13, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Он от этого только нагреется... А это основная функция утюга!11
    > Утюг с майнером? Да это прекрасная идея для стартапа!

    UR SLOW!1  https://www.ixbt.com/news/2018/03/14/qarnot-qc-1.html

     
  • 4.41, Аноним (-), 00:31, 17/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше водонагреватель. Вполне реально ж сделать, даже температура нужная.
     
  • 2.27, amonymous (?), 13:10, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там как раз гипервизор для встраиваемых устройств разрабатывают. Чтобы можно было майнить в каждом холодильнике.
     

  • 1.4, Аноним (-), 10:53, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    udf функции есть во многих СУБД
    т.е. не исключено, что и в других такое повторить можно
     
  • 1.5, Аноним (-), 10:56, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Офигенная стеганография: dd skip=...
     
  • 1.7, YetAnotherOnanym (ok), 11:03, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Вот это я понимаю, эксплойт, не то что какой-то там скрипт на бидоне.
     
     
  • 2.13, Andrey Mitrofanov (?), 11:27, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот это я понимаю, эксплойт, не то что какой-то там скрипт на
    > бидоне.

    Ты всйо перепутал!

    В теме не "ксплойт", а пейлоад. Ксплойтят в новости выше _уязвимые_ ханипоты.

     

  • 1.10, Сергей (??), 11:18, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Майнинг здесь просто использование некорректных настройках самого скл, ломается ведь учетная запись posgres, после чего доступно выполнение любого кода с правами этой учетной записи, а там можно не только майнить...
     
  • 1.11, лютый жабист__ (?), 11:22, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....  

    Гуглим monero benchmarks и monero mining calculator.

    Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц. Учитывая, что preemtible instance у того же гугля стоит НАМНОГО дешевле, зачем заморачиваться со взломами?

    Майнеры опеннета, ау?

     
     
  • 2.12, лютый жабист__ (?), 11:25, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Всё, сам понял, 8X XEON PHI 7220 это не проц
     
  • 2.28, пох (?), 13:36, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что-то непонятно, на CPU уже давно не майнят, а редиски килобаксы монерой рубят....  

    такая же херня :-(
    причем запускал я ровно то, что (если верить этим исследователям, а я б и ломанного гроша за них не дал) запускают троянцы (не стал только хакать на предмет отъема несчастных 5% у автора) - получил такое, что проще тот сервер сдать во вторчермет, за корпус больше дадут, он у него дубовый.

    > Выходит, что ксеон 8 ядерный выдаёт 24килохэшей, а приносит это 612 баксов в месяц.

    чего-то ты не то гуглил - или оно устарело  лет на пять.

    у меня 24ядра (правда, не хватило кэша чтоб использовать все, но 14 поднялись), и результат - просто вот курам на смех.

     

  • 1.14, ыы (?), 11:33, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    не смогли майнер на чистом sql написать...вот и пришлось извращатся...
     
     
  • 2.26, bvs23bkv33 (?), 12:56, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    на Pro*C
     

  • 1.15, Аноним (-), 11:43, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    такое ощущение что огромная куча народа помешалась на майнинге.
     
     
  • 2.16, Аноним (-), 11:50, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Только впечатление? Я в этом уверен. Уже года два как.
     

  • 1.17, 0x501D (?), 11:56, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Красота то какая!!!
     
  • 1.18, srgaz (?), 11:59, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Как я понимаю локально все это происходит! Ну если так зачем столько гемора?
     
  • 1.19, Нанобот (ok), 12:12, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    хакеры используют сервера postgres для майнинга криптовалют, но админы postgres-серверов не заметили разницы, поскольку postgres как жрал 100% cpu до заражения, так и продолжил жрать 100% cpu после заражения
     
     
  • 2.21, анонимус_б6_выпуск_3 (?), 12:16, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    но при этом прекратил работать на хозяина, а стал майнить для кацкеров
     
     
  • 3.29, хозяин (?), 13:37, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > но при этом прекратил работать на хозяина, а стал майнить для кацкеров

    да я, честно говоря, и раньше подозревал, что не он на меня, а я на него работаю :-(

     
  • 2.32, Аноним (-), 14:27, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поменяй ник на "Микробот", ты ведь мелкая мягкая манька, торговать сюда пришла
     

  • 1.20, Нанобот (ok), 12:16, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    нужно было сразу делать хранимую процедуру sys_mine и майнить sql-запросами вида 'select coin from sys_mine('XMR')'  #оптимизация
     
  • 1.22, Coocos (?), 12:28, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только amd64? На S390X не сработает.
     
     
  • 2.25, Аноним (-), 12:37, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наверное, если скомпилить эту функцию в код S390X, то сработает.
     
  • 2.33, Аноним (-), 16:58, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О, боже мой, такая печаль, придётся не трогать все 3½ S390X!
     

  • 1.34, Аноним (-), 17:28, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Картинго загружаеется
    http://img1.imagehousing.com/0/art-981754.png
    внутри elf
     
  • 1.35, pavlinux (ok), 18:58, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    майнеры - это полезные для безопасности существа, все фичи спалили! Выявить - как двабайтаобасфальт :)
     
  • 1.38, Аноним (-), 22:26, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость только то, что в открытую дверь зашли только майнеры
     
  • 1.39, Аноним (-), 22:30, 16/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чем новость? зашли и поэксплуатировали вычислительный ресурс сервера. Так сервер для это и предназначен.
     
  • 1.42, Аноним (-), 01:10, 17/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > аналогичная вредоносная UDF-функция на языке Си доступна

    Распространение ссылок на вредоносное ПО...

     
     
  • 2.44, Аноним (-), 08:43, 17/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> аналогичная вредоносная UDF-функция на языке Си доступна
    > Распространение ссылок на вредоносное ПО...

    Сенсация! В Windows встроено вредоносное ПО - в меню Пуск можно выполнить cmd и любую программу. UDF-функция по ссылке ничем по своей вредоносности от этого не отличается, просто позволяет запустить любую команду, как и shell, как и функция system из libc.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру