Исследователи из компании Imperva, поддерживающей honeypot с незащищёнными и уязвимыми СУБД для изучения атак на них, сообщили (https://www.imperva.com/blog/2018/03/deep-dive-database-atta... о выявлении вредоносной активности, нацеленной на организацию скрытого майнинга криптовалюты через СУБД PostgreSQL. Атака интересна тем, что вредоносный код для майнинга загружается с использованием методов стеганографии (https://ru.wikipedia.org/wiki/%D0%A1%D1%... и спрятан в PNG-изображении (https://www.imperva.com/blog/wp-content/uploads/2018/03/Post....Для выполнения вредоносного кода в PostgreSQL добавлялась написанная на языке Си (https://www.postgresql.org/docs/9.2/static/xfunc-c.html) UDF-функция (User-defined function) sys_eval (https://github.com/sqlmapproject/udfhack/tree/master/linux/l... позволяющая выполнить в системе любой код (передаёт входные параметры в вызовы system или popen). Для добавления (https://github.com/nixawk/pentest-wiki/blob/master/2.Vulnera... функции в системный каталог PostgreSQL скомпилированный код передавался в виде Large Object (https://www.postgresql.org/docs/9.4/static/lo-funcs.html) с его дальнейшим экспортом в файл при помощи вызова lo_export.
В ходе атаке данная UDF-функция была использована для выполнения команд в системе при помощи вызова "SELECT sys_eval('код')", используя PostgreSQL в качестве бэкдора или SQL-Shell. После получения контроля за сервером с PostgreSQL и установки UDF-функции sys_eval атакующие загружали картинку с публичного хостинга изображений imagehousing.com, извлекали скрытый в картинке код для майнинга криптовалюты Monero (XMR) и запускали его. В настоящее время, в используемом в ходе атаки кошельке накопилось 312.5 XMR, что по сегодняшнему курсу соответствует 65 тысячам долларов США (неделю назад было $117 тысяч).
Сообщается, что для получения доступа к СУБД осуществлялся подбор пароля (brute force) для учётной записи postgres, создаваемой по умолчанию. Судя по всему, атака носит целевой характер и направлена на поражение какого-то облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением некорректных с точки зрения безопасности настроек. Например, поисковая система Shodan находит (https://www.shodan.io/report/KKSETG6u) более 709 тысяч PostgreSQL-серверов с открытым сетевым портом 5432, из которых 80 тысяч предоставляются Amazon AWS. Так же возможно, что атака используется для оргаизации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости в другом сервисе или web-приложении с эскалацией привилегий) и использующих PostgreSQL как точку для получения скрытого доступа извне.
Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к СУБД PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системную директорию или необходимо изменение настроек PostgreSQL (т.е. для атаки нужны полномочия администратора СУБД). Также не исключено, что атака может производиться и через серверы MySQL, так как аналогичная вредоносная пользовательская функция на языке Си доступна (https://github.com/sqlmapproject/udfhack/tree/master/linux/l... и для данной СУБД.
URL: https://www.imperva.com/blog/2018/03/deep-dive-database-atta.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48269
){kind=link}
