PGMiner Botnet

Krypto-Jacking-Operationen sind der heiße neue Trend unter Cyberkriminellen. Das Endziel ist fast immer dasselbe - Bereitstellung einer Crypto-Mining-Nutzlast auf dem gefährdeten Computer. Wo die schnellsten Innovationen beobachtet wurden, ist der anfängliche Kompromissvektor, den jedes Crypto-Mining-Botnetz verwendet. Infosec-Forscher glauben nun, das erste Botnetz dieses Typs entdeckt zu haben, das eine umstrittene Sicherheitsanfälligkeit in Bezug auf PostgreSQL-Remotecodeausführung (RCE) verwendet, um Datenbankserver zu gefährden. Der Name der Bedrohung lautet PGMiner Botnet und nutzt die Ressourcen der infizierten Opfer, um Monero-Münzen aufzubauen.

In Bezug auf potenzielle Ziele zählt PostgreSQL zu den am häufigsten verwendeten relationalen Open-Source-Datenbankverwaltungssystemen (RDBMS), wenn es um die Einrichtung von Produktionsumgebungen geht. Insbesondere wurde im November 2020 berichtet, dass PostgreSQL das vierthäufigste DBMS ist. Es ist zu beachten, dass die vom PGMiner-Botnetz ausgenutzte Sicherheitsanfälligkeit das Tag "umstritten" trägt. Im Kern handelt es sich um eine Funktion, mit der lokale oder Remote-Superuser beliebige Shell-Skripte direkt auf den Servern ausführen können. Bereits 2019 wurde das Feature als Sicherheitslücke erkannt und mit der Bezeichnung CVE-2019-9193 versehen. Die PostgreSQL-Community argumentierte jedoch, dass die Funktion für sich genommen absolut sicher ist, solange der Superuser-Status nur vertrauenswürdigen Parteien in Verbindung mit ordnungsgemäß ausgeführten Zugriffskontroll- und Authentifizierungssystemen gewährt wird.

PGMiners Angriffskette

Die Infektionsaktivität beginnt mit der Ausnutzung der umstrittenen PostgreSQL-Sicherheitsanfälligkeit und setzt sich mit der Bereitstellung einer bedrohlichen Münz-Mining-Nutzlast fort. Die für PGMiner verantwortlichen Kriminellen haben mehrere Nutzdaten eingerichtet. Welche verwendet werden soll, hängt von der spezifischen Architektur des gefährdeten Geräts ab.

Die interessantere Nutzlast von PGMiner nutzt x86-64-Architekturen. Es handelt sich um eine ausführbare ELF-Nutzdatendatei, die eine signifikante Verhaltensüberschneidung mit einer zuvor erkannten SystemdMiner-Variante aufweist, aber auch signifikante Änderungen enthält. Die Coin-Mining-Bedrohung ist mit Anti-VM-Funktionen ausgestattet, da eine Überprüfung auf VBoxGuestAdditions durchgeführt wird. Es kann auch Tools zur Überwachung der Cloud-Sicherheit wie Aegis entfernen. Um einen potenziellen Wettbewerb um die begrenzten Ressourcen des gefährdeten Systems zu vermeiden, werden durch die Bedrohung andere konkurrierende Miner-Skripte, -Prozesse und Crontab-Datensätze sowie CPU-intensive Prozesse wie ddg, Systemaktualisierungen usw. entfernt.

Die Kommunikation mit den Command-and-Control-Servern (C2, C & C) wird über SOCKS5-Proxys hergestellt.