Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >门罗币挖矿僵尸网络PGMiner瞄准PostgreSQL

门罗币挖矿僵尸网络PGMiner瞄准PostgreSQL

作者头像
FB客服
发布于 2021-01-08 07:50:52
发布于 2021-01-08 07:50:52
1.7K0
举报
文章被收录于专栏:FreeBufFreeBuf

Palo Alto Networks Unit 42 的安全研究员发现了一种基于 Linux 平台的加密货币挖掘僵尸网络,该僵尸网络利用 PostgreSQL 远程代码执行(RCE)漏洞来攻陷数据库

据 Palo Alto Networks Unit 42 研究人员的描述,PGMiner 利用 PostgreSQL(也被称为 Postgres)中的 CVE-2019-9193 漏洞发起攻击。这可能是有史以来第一个针对 PostgreSQL 的加密货币挖掘僵尸网络。

利用漏洞

Unit 42 研究人员在文章中表示:“攻击者正在利用的 PostgreSQL 功能是’copy from program’,该功能于 2013 年 9 月 9 日在 9.3 版中引入的”,“早在 2018 年,针对 CVE-2019-9193 漏洞 PostgreSQL 社区就存在极大的质疑,该漏洞也被标记为“有争议的”。

他们补充说道:“值得注意的是,恶意软件攻击者不仅已开始对确认的漏洞进行武器化,而且还开始对有争议的漏洞进行武器化”。

该功能允许从本地或远程在服务器上运行 Shell 脚本。但是,只要超级用户或不受信任的用户都不具有远程权限,并且访问控制和身份验证系统已进行了正确配置,就不会有风险。另一方面,如果配置不正确,PostgreSQL 也会被通过暴力破解或 SQL 注入等方式获取超级用户权限,这也可以在 PostgreSQL 以外的服务器上进行远程代码执行。

攻击细节

研究人员表示:“攻击者会扫描 PostgreSQL 使用的端口 5432(0x1538)”, “恶意软件会随机选择一个网络地址段(例如 190.0.0.0、66.0.0.0)开始扫描,以尝试在 PostgreSQL 服务器上执行远程代码。与此同时,会使用数据库的默认用户 postgres 对内置密码列表(例如 112233 和 1q2w3e4r)进行暴力破解,以攻破数据库身份验证”。

该报告称,在以超级用户身份入侵服务器后,该恶意软件会使用“copy from program”功能的 CVE-2019-9193 漏洞下载并启动挖矿。挖矿程序采用无文件方法,在启动后立即删除了 PostgreSQL 的 abroxu 表,重新创建 abroxu 表将 Payload 填充进去,执行后清除创建的表。

安装后,该恶意软件使用 curl 来执行任务。curl 是用于向服务器或从服务器传输数据的命令行工具。如果受害者的机器上没有 curl,恶意软件会尝试通过多种方法来下载 curl 二进制文件并将其添加到执行路径。

更有趣的是目标 C&C 地址:94.237.85.89。该地址绑定到域名 newt.keetup.com 上。虽然其上级域名 keepup.com 看起来像是一个合法的网站,但该特定子域名会将端口 80 重定向到 443,该端口用于承载名为 newt 的 couchdb。尽管 8080 端口不对外开放,但我们认为它已配置为允许跨域资源共享(CORS)”。

下一步是通过 SOCKS5 代理连接到命令和控制服务器(C&C)。然后,PGMiner 会收集系统信息,并将其发送给 C&C 服务器以识别受害者,以确定应下载哪个版本的挖矿程序。

解析了 SOCKS5 代理服务器的 IP 地址之后,PGMiner 循环遍历文件夹列表,找到一个拥有创建新文件并更新其属性权限的位置”,“以确保下载的 Payload 可以在失陷服务器上成功执行”。

最后会删除诸如 Aegis 之类的云安全监视工具以及诸如 Yunjing 之类的 Qcloud 监视器程序。检查虚拟机、终止所有其他 CPU 密集型进程与竞争对手的挖矿程序。

PGMiner 的 C&C 服务器正在不断更新。不同的模块分布在不同的 C&C 服务器上,这一切都表明 PGMiner 仍然在快速迭代发展。目前攻击针对 Linux 平台,但也可以轻松修改为针对 Windows 和 macOS 平台。

检查与清除

PostgreSQL 用户可以从不受信任的用户中删除 pg_execute_server_program 权限,这就使攻击者无法利用该漏洞。此外,还可以终止 tracepath 进程。

参考来源

ThreatPost Palo Alto Network

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-04,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Moobot 僵尸网络“盯上了”D-Link 路由器
Bleeping Computer 网站披露,上月初,被称为 “MooBot ” 的 Mirai 恶意软件僵尸网络变种在新一轮攻击浪潮中再次出现,以易受攻击的 D-Link 路由器为目标,混合使用新旧漏洞,展开网络攻击。 2021 年 12 月,Fortinet 分析师发现了 MooBot 恶意软件团伙,当时该组织正在针对某厂商摄像头中存在的一个漏洞,进行了 DDoS 攻击。 恶意软件开始针对 D-Link 设备 最近,研究人员发现 MooBot 恶意软件更新了其目标范围。从 Palo Alto Net
FB客服
2023/03/30
5400
Moobot 僵尸网络“盯上了”D-Link 路由器
由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币
“用指尖改变世界” F5 Networks的安全研究人员已经发现了一个新的Linux加密僵尸网络并将其命名为“PyCryptoMiner”,它正在扩展到SSH协议上。 根据研究人员的描述,PyCryptoMiner主要包括以下五个特性: 基于Python脚本语言,意味着很难被检测到; 在原始命令和控制(C&C)服务器不可用时,利用Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的C&C服务器分配; 注册人与超过3.6万个域名相关联,其中一些域名自2012年以来一直以诈骗、赌博和成
企鹅号小编
2018/02/08
1.2K0
由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币
攻击者失手,自己杀死了僵尸网络 KmsdBot
此前,Akamai 的安全研究员披露了 KmsdBot 僵尸网络,该僵尸网络主要通过 SSH 爆破与弱口令进行传播。在对该僵尸网络的持续跟踪中,研究人员发现了一些有趣的事情。
FB客服
2023/02/10
3130
攻击者失手,自己杀死了僵尸网络 KmsdBot
基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人
F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH 端口的 Linux 系统。 根据研究人员的描述,PyCryptoMiner 主要包括以下五个特性: 1、基于 Python 脚本语言,这意味着很难被检测出来 2、在原始命令和控制(C&C)服务器不可用时,会利用 Pastebin.com(在用户名“WHATHAPPEN”下)接收新的 C&C 服务器分配 3、域名注册人与超过 3.6 万个域名相关联
Python中文社区
2018/02/01
1.3K0
基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人
了解你的敌人:跟踪僵尸网络
大家好,又见面了,我是你们的朋友全栈君。 了解你的敌人:跟踪僵尸网络 利用蜜网对僵尸主机了解更多 蜜网项目组 & 蜜网研究联盟 http://www .honeynet.org 最后修改日期 : 2005 年 3 月 13 日
全栈程序员站长
2022/09/15
1.4K0
NSA 攻击工具再遭利用,Windows、Linux服务器沦为挖矿工具
F5研究员发现了一种新型Apache Struts 漏洞利用。这种恶意行动利用NSA EternalBlue 和 EternalSynergy两种漏洞,运行于多个平台,目标为内部网络。 研究人员将其命名为“Zealot”,因为其zip文件中包含有NSA所发布的python脚本。随着研究的深入,此文章会进一步更新,目前我们所知道的有: 新型Apache Struts 目标为Windows和Linux系统 Zealot的攻击复杂,多平台,且及其模糊 Zealot利用的服务器均有以下两种漏洞 CVE-2017
企鹅号小编
2018/02/09
2.7K0
NSA 攻击工具再遭利用,Windows、Linux服务器沦为挖矿工具
追踪分析LiquorBot僵尸网络
自2016年起,Mirai僵尸网络就因发动大规模网络攻击并摧毁各种基础设施而闻名于众,它也已经成为了网络安全领域对中、大型物联网僵尸网络评估的一个参考因子。自从它开源之后,很多对僵尸网络感兴趣的人都会根据Mirai的源码来构建自己的僵尸网络,因此便出现了各式各样的Mirai变种,除了以破坏为目的的网络攻击之外,现在也开始有人在利用受损设备的算力来进行挖矿活动了。
FB客服
2020/02/20
6940
追踪分析LiquorBot僵尸网络
DDoS 僵尸网络 RapperBot 开始涉足挖矿
RapperBot 是一个主要针对 IoT 设备的恶意软件家族,自从 2022 年 6 月以来一直保持活跃。此前以爆破攻击为主进行扩张,攻击者驱动僵尸网络发起 DDoS 攻击。研究人员近期发现,Rap
FB客服
2023/05/19
3300
DDoS 僵尸网络 RapperBot 开始涉足挖矿
基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人
F5 Networks 的安全研究人员 发现 了一个新的 Linux 加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开 SSH 端口的 Linux 系统。 根据研究人员的描述,PyCryptoMiner 主要包括以下五个特性: 基于 Python 脚本语言,这意味着很难被检测出来 在原始命令和控制 (C&C) 服务器不可用时,会利用 Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的 C&C 服务器分配 域名注册人与超过 3.6 万个域名相关联
企鹅号小编
2018/02/07
9600
基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人
挖矿恶意软件Pro-Ocean瞄准ActiveMQ、WebLogic和Redis
网络犯罪团伙 Rocke 正在利用一种名为 Pro-Ocean 的新型矿工,攻击存在漏洞的 Apache ActiveMQ、Oracle WebLogic 和 Redis。该恶意软件是门罗币矿工,于 2019 年首次被 Unit 42 研究人员发现。
FB客服
2021/03/09
5500
挖矿恶意软件Pro-Ocean瞄准ActiveMQ、WebLogic和Redis
新XBash恶意软件融合勒索病毒、挖矿、僵尸网络和蠕虫功能
近期,Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件,而这款恶意软件不仅是一个勒索软件,而且它还融合了挖矿、僵尸网络和蠕虫等功能。
FB客服
2018/10/25
6130
新XBash恶意软件融合勒索病毒、挖矿、僵尸网络和蠕虫功能
Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器
Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。
FB客服
2020/10/27
1K0
Dofloo(AESDDoS)僵尸网络正批量扫描、攻击Docker容器
滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai
网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。
FB客服
2019/03/08
1K0
滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai
BORG —— 一个快速进化的僵尸网络
近日,宙斯盾流量安全分析团队发现大量针对Docker、Kubernetes等服务的异常扫描流量,我们对此深入分析发现,一个专门针对容器虚拟化服务的僵尸网络浮出水面,因其在文件中大量使用BORG字符串,我们将其命名为BORG僵尸网络。
腾讯安全应急响应中心
2021/01/11
7600
BORG —— 一个快速进化的僵尸网络
APT33同时利用多个僵尸网络攻击目标
APT33常以石油和航空业为攻击目标,最近的调查结果显示,该组织一直在使用大约12台经过多重混淆的C&C服务器来攻击特定目标。该组织主要在中东、美国和亚洲地区开展的针对性极强的恶意攻击活动。
FB客服
2019/12/23
8450
APT33同时利用多个僵尸网络攻击目标
揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络
Bondnet的控制者通过一系列公开漏洞,利用Windows管理服务(WMI)木马对服务器进行入侵控制。根据GuardiCore的分析显示,昵称为Bond007.01的Bondnet控制者,能获得对肉鸡服务器的完全控制权,具备数据窃取、勒索和发起其它进一步攻击的可能。Bondnet自2016年12月出现以来,主要进行门罗币(Monero)的挖掘,其一天的收入可达1千美元之多。
FB客服
2018/02/24
1.7K0
揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络
GoBrut僵尸网络新变种
使用 Go 编写的多平台 GoBrut 僵尸网络最近部署了新变种进行传播,同时正对数以百万计的 WordPress 网站进行爆破。
FB客服
2020/06/18
7750
《2020挖矿木马年度报告》:挖矿团伙勾结僵尸网络日趋多见
近期,加密货币市场可谓热度十足。数字资产交易网站Crypto.com的一项调查显示,截至2021年1月,全球已有1.06亿加密货币用户。各类数字加密货币价格暴涨是推动用户数增长的主要驱动力。然而,用户数增加的同时,数字货币也引来了黑产的垂涎,过去一年挖矿木马上升趋势显著。
腾讯安全
2021/03/05
1.2K0
《2020挖矿木马年度报告》:挖矿团伙勾结僵尸网络日趋多见
BotenaGo 僵尸网络源码泄露,攻击者武器库又增加
2021 年 11 月,AT&T Alien Labs 首次披露 Golang 编写的恶意软件 BotenaGo。最近,该恶意软件的源代码被上传到 GitHub 上,这可能会催生更多的恶意软件变种,预计也会有攻击者利用这些开源代码改进、混淆自己的恶意软件。
FB客服
2022/02/25
6210
BotenaGo 僵尸网络源码泄露,攻击者武器库又增加
急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击
:新的“FICORA”和“CAPSAICIN”僵尸网络(Mirai 和 Kaiten 的变体)的活动激增。
星尘安全
2024/12/30
1500
急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击
推荐阅读
相关推荐
Moobot 僵尸网络“盯上了”D-Link 路由器
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档