安全公司Imperva的研究人员在上周表示,他们检测到了一种针对PostgreSQL服务器的新型攻击技术。当攻击者登录到数据库后,首先会创建多种不同的有效载荷,并通过将这些有效载荷嵌入到图片中以逃避安全检测。这些有效载荷最终将被提取到目标服务器的本地硬盘中,以实现远程代码执行。
研究人员表示,与最近他们所检测到的攻击一样。攻击者的最终目的是在目标服务器上部署加密货币挖矿程序,以利用服务器的计算资源来挖掘门罗币。但有趣的是,攻击者利用了美国女演员斯嘉丽约翰逊(Scarlett Johannsson)的照片作为攻击媒介。
PostgreSQL是一个常用的开源数据库,与其他常见数据库一样,它也提供了一个Metasploit模块,来简化与操作系统之间的交互。研究人员表示,在这起攻击中,攻击者使用了经过修改的Metasploit模块来启动与PostgreSQL的交互,以便在服务器上执行shell命令。
模块中的修改是为了逃避数据库监控审计系统(DAM)的安全检测,这个系统被设计用于监视诸如lo_export函数调用这样的特权操作。而在这起攻击中,攻击者正是利用了lo_export函数来将恶意软件的有效载荷转储到目标服务器的本地硬盘中。
一旦攻击者获得了执行系统命令的能力,就能够通过执行lshw -c video命令来获取服务器的GPU的详细信息以及通过运行cat /proc/cpuinfo来获取服务器的CPU的详细信息。在掌握了这些信息之后,剩下的便是门罗币挖掘计划的执行了。
根据攻击者钱包地址显示的信息来看,迄今为止他们已经收集到了312枚门罗币,价值约为9万美元。同时,这也意味着已经有多台PostgreSQL服务器成为了受害者。
为什么攻击者会选择使用名人的照片来嵌入恶意软件呢?Imperva的研究人员认为,这样做的主要目的是为了更易于欺骗安全产品。因为,将二进制代码附加到真实的图像文件或者文档中不但可以改变文件本身,而且可以绕过大多数防病毒软件。
为了证明自己的说法,Imperva的研究人员通过谷歌VirusTotal引擎对这起攻击中挖矿代码的三种不同形式(图片链接、图片本身和挖矿代码)进行了安全检测,结果如下:
图片链接:仅一款防病毒软件提示“恶意软件”;
图片本身:有3款防病毒软件发出安全提示;
挖矿代码:有18款防病毒软件发出安全提示。
此外,为了证明势态的严重性,研究人员还决定让Shodan引擎的搜索结果来告诉我们到底有多少PostgreSQL服务器容易成为攻击者的目标。搜索结果显示,至少有71万台符合攻击要求的PostgreSQL服务器在线暴露,大部分位于波兰和美国。
Imperva公司表示,PostgreSQL服务器用户可以通过以下措施来避免自己成为受害者:
留意lo_export的直接调用或通过pg_proc中的条目进行的间接调用;
留意调用C语言二进制文件的函数;
使用防火墙阻止从数据库向互联 传输的 络流量;
确保数据库未分配公共IP地址。如果已经分配公共IP地址,则限定可以与其交互的主机(应用程序服务器或DBA的客户端)。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!