Новости PGMiner, инновационный ботнет для майнинга Monero, впечатлил исследователей

Тема в разделе "Новости", создана пользователем Mr. Pickles, 5 янв 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    981
    Симпатии:
    246
    1.jpeg

    Обнаружен инновационный ботнет для майнинга криптовалюты на базе Linux, который использует оспариваемую на данный момент уязвимость для удаленного выполнения кода (RCE) PostgreSQL для компрометации серверов баз данных. По словам исследователей, вредоносное ПО является необычным и совершенно новым во многих отношениях.

    По словам исследователей из подразделения Unit 42 компании Palo Alto Networks, майнер (получивший название «PGMiner») использует CVE-2019-9193 в PostgreSQL, также известном как Postgres, который является популярной системой управления реляционными базами данных с открытым исходным кодом для производственных сред. Unit 42 отметили, что это первый майнер, нацеленный на данную платформу.

    «Эксплуатируемая функция PostgreSQL — это "копирование из программы", которая была представлена в версии 9.3 9 в сентябре 2013 года», - сообщают исследователи Unit 42. Однако только в 2018 году CVE-2019-9193 был связан с данной функцией и стал уязвимостью. Сообщество PostgreSQL оспорило это замечание, и CVE был помечен тэгом - «оспариваемый».

    Unit 42 добавили: «Примечательно, что злоумышленники начали использовать не только подтвержденные CVE, но и оспариваемые».

    Со слов специалистов из Unit 42, эта функция позволяет как локальному, так и удаленному суперпользователю запускать сценарий непосредственно на сервере, который и подвержен данной атаке. Однако риск для RCE отсутствует, если привилегия суперпользователя не предоставлена удаленным пользователям, а система контроля доступа и аутентификации настроена корректно. С другой стороны, если она не настроена должным образом, PostgreSQL может разрешить использование RCE за пределами программного обеспечения PostgreSQL.

    Вредоносное ПО в деталях

    Образец вредоносного ПО, проанализированный Unit 42, статически связан с клиентской библиотекой («libpq postgresql»), которая используется для перебора целевых серверов баз данных (способ взлома, заключающийся в подборе паролей).

    Исследователи заявили, что злоумышленник сканирует порт 5432 (0x1538), используемый PostgreSQLql. Вредоносная программа случайным образом выбирает диапазон общедоступной сети (например 190.0.0.0, 66.0.0.0) в попытке выполнить RCE на сервере PostgreSQL с пользователем «postgres», который является пользователем базы данных по умолчанию. Злоумышленник выполняет атаку методом полного перебора, перебирая список популярных паролей, таких как 112233 и 1q2w3e4r.

    Согласно отчету, после взлома вредоносная программа использует CVE-2019-9193, функцию "копирование из программы", для загрузки и запуска скриптов майнера.

    По словам исследователей, майнер использует безфайловый подход, удаляя таблицу PostgreSQL сразу после запуска кода. PGMiner очищает таблицу «abroxu» (если она существует) и создает новую таблицу «abroxu» с текстовым столбцом, и сохраняет в ней всю вредоносную нагрузку, а полезную нагрузку перенаправляет на сервер PostgreSQL, и уже затем очищает созданную таблицу.

    После установки вредоносная программа использует curl для выполнения ряда специфических задач. Curl используется для передачи данных на сервер жертвы. Если curl недоступен, вредоносный сценарий пытается использовать несколько подходов для загрузки двоичного файла curl, включая прямую установку из утилит управления пакетами, таких как apt-get и yum, или загрузку статического двоичного файла curl с GitHub.

    «В то время как первые два подхода хорошо известны, третий довольно уникален, - сообщает Unit 42. - Что более интересно, так это целевой IP-адрес: 94[.]237[.]85[.]89. Он связан с доменом newt[.]keetup[.]com. В то время как его основной домен, keepup[.]com, кажется вполне законным бизнес-проектом, этот отдельный поддомен перенаправляет весь трафик с порта 80 на порт 443, который используется для размещения couchdb с именем newt. Хотя порт 8080 не открыт для общего доступа, мы полагаем, что он был настроен так, чтобы разрешить совместное использование ресурсов между различными источниками (CORS)».

    Следующим шагом является подключение к управляющему серверу (C2) через прокси SOCKS5. PGMiner собирает системную информацию и отправляет ее на C2 для идентификации жертвы, чтобы определить, какую версию полезной нагрузки для майнинга следует выполнять.

    После определения IP-адреса прокси-сервера SOCKS5 PGMiner просматривает список папок, чтобы найти первую, которая позволяет создать новый файл и впоследствии обновлять его атрибуты. Это гарантирует, что загруженная вредоносная программа сможет успешно функционировать на устройстве жертвы.

    Следующим шагом, по словам исследователей, является очистка среды: она удаляет инструменты мониторинга облачной безопасности, такие как Aegis, и утилиты мониторинга Qcloud, такие как Yunjing; проверяет наличие виртуальных машин; убивает все другие процессы, особенно интенсивно использующие процессор.

    И последняя задача злоумышленника - начать процесс майнинга Monero.

    Согласно анализу обнаружено, что PGMiner постоянно воспроизводит свои сборки, рекурсивно загружая определённые модули.

    Исследователи добавили, что загруженное вредоносное ПО имитирует процесс трассировки, чтобы скрыть своё присутствие на сервере.

    Что касается того, насколько успешен или широко распространен ботнет, исследователи заявили, что они не более чем наблюдали, как этот конкретный образец PGMiner пытается подключиться к майнинговому пулу, и информация о прибыли им неизвестна.

    Согласно заявлению Unit 42, чтобы защитить свои серверы, пользователи PostgreSQL могут удалить конкретную привилегию «pg_execute_server_program» у всех ненадежных пользователей в системе, чтобы исключить возможность данной атаки.

    Тот факт, что PGMiner использует оспариваемую уязвимость, помог ему остаться незамеченным до текущего момента времени.

    В ходе нашего анализа мы наблюдали новые методы, такие как встраивание идентификатора жертвы в запрос и попытки выдать свою деятельность за доверенный процесс и весьма агрессивное уничтожение всех программ конкурентов. А другие особенности, такие как рекурсивная загрузка и частая смена адресов серверов, указывают на то, что PGMiner все еще быстро развивается.

    ---

    Источник: PGMiner, Innovative Monero-Mining Botnet, Surprises Researchers

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.