Se descubrió un nuevo tipo de ataque dirigido a las bases de datos PostgreSQL, en el cual los autores de malware están usando una imagen de la actriz de Hollywood Scarlett Johansson
Esta imagen oculta un minero de criptomonedas que pretenden ejecutar en el servidor subyacente de la base de datos.
El ataque se ha observado en un servidor de honeypot ejecutado por investigadores de Imperva. Los expertos dicen que los delincuentes obtuvieron acceso a una cuenta de usuario de la base de datos PostgreSQL, donde ejecutaron cargas útiles que se encuentran en el módulo PostgreSQL de la estructura Metasploit.
Este módulo permite al atacante escalar su acceso del proceso DB al sistema operativo del servidor subyacente, al tiempo que permanece bajo el radar de las soluciones DAM (monitoreo de auditoría de base de datos).
Una vez que los atacantes escalan su acceso, la primera serie de comandos que ejecutan (que enumera la CPU del servidor y los detalles de la GPU) revelan sus verdaderas intenciones: extracción de criptomonedas.
Los hackers luego descargarán un archivo PNG (art-981754.png) de un servicio legítimo de alojamiento de imágenes -imagehousing.com. Los investigadores dicen que esta imagen retrata a la famosa actriz de Hollywood Scarlett Johansson, a primera vista, pero cuando miraron el código binario de la imagen, encontraron un minero de criptomoneda anexado después de los datos de la imagen real.
Los atacantes utilizarían la utilidad "dd" (duplicador de datos) de Linux para extraer el coinminer incrustado al final de la imagen, y luego generar el nuevo archivo en un nuevo proceso.
Este nuevo proceso usará el servidor local para extraer la criptomoneda Monero para los hackers. Todos los fondos extraídos se envían a la siguiente dirección de Monero: 4BBgotjSkvBjgx8SG6hmmhEP3RoeHNei9MZ2iqWHWs8WEFvwUVi6KEpLWdfNx6Guiq5451Fv2SoxoD7rHzQhQTVbDtfL8xS
Según XMR Hunter, un servicio que rastrea las direcciones de Monero en los grupos de minería, los hackers detrás de esta campaña parecen haber hecho 317.265615122445 Monero ($ 65,500), aunque se desconoce cuánto de esto se ha hecho usando servidores PostgreSQL.
Imperva se ha puesto en contacto con imagehousing.com, que eliminó la imagen de su servicio, aunque los hackers probablemente la hayan subido a otro servicio de alojamiento de imágenes mientras tanto.
Con más de 710,000 servidores PostgreSQL conectados a Internet, los expertos han presentado las siguientes recomendaciones para los propietarios de las bases de datos:
- Asegúrese de que su base de datos no esté asignada con una dirección IP pública. Si es así, restrinja el acceso solo a los hosts que interactúan con él (servidor de aplicaciones o clientes propiedad de DBA).
- Utilice un firewall para bloquear el tráfico de red saliente desde su base de datos a Internet.
- Watch out para llamadas directas a lo_export o llamadas indirectas a través de entradas en pg_proc.
- Tened cuidado de las funciones que invocan binarios en lenguaje C
- Asegurar al usuario postgres predeterminado con una contraseña segura.
