PGMiner Botnet
Crypto-jacking-operationer har været den hotte nye trend blandt cyberkriminelle. Det endelige mål er næsten altid det samme - implementering af en crypto-mining nyttelast på den kompromitterede maskine. Hvor de hurtigste innovationer er blevet observeret, er den indledende kompromisvektor, som hver kryptomining-botnet anvender. Nu tror infosec-forskere på at have opdaget det første botnet af denne type, der bruger en omstridt PostgreSQL-fjernudførelse (RCE) -sårbarhed for at kompromittere databaseservere. Navnet på truslen er PGMiner Botnet og bruger de inficerede ofres ressourcer til at udvinde Monero-mønter.
Med hensyn til potentielle mål rangerer PostgreSQL blandt de mest anvendte open source-relationsdatabasesystemer (RDBMS), når det kommer til etablering af produktionsmiljøer. Mere specifikt er PostgreSQL fra november 2020 rapporteret at være den 4. mest anvendte DBMS. Det skal bemærkes, at den sårbarhed, der udnyttes af PGMiner botnet, bærer mærket 'omstridt'. Kernen repræsenterer en funktion, der tillader lokale eller eksterne superbrugere at køre vilkårlige shell-scripts direkte på serverne. Tilbage i 2019 blev funktionen anerkendt som en sårbarhed og fik tildelt betegnelsen CVE-2019-9193. Imidlertid hævdede PostgreSQL-samfundet, at funktionen i sig selv er helt sikker, så længe superbrugerstatus kun gives til betroede parter kombineret med korrekt kørende adgangskontrol- og godkendelsessystemer.
PGMiner's Attack Chain
Infektionsaktiviteten begynder med udnyttelsen af den omstridte PostgreSQL-sårbarhed og fortsætter med implementeringen af en truende møntudvindingsnyttelast. De kriminelle, der er ansvarlige for PGMiner, har etableret flere nyttelast, og hvilken der skal bruges, bestemmes af den specifikke arkitektur for den kompromitterede enhed.
Den mere interessante nyttelast PGMiner udnytter mod x86-64 arkitekturer. Det er en ELF-eksekverbar nyttelastfil, der udviser betydelig adfærdsmæssig overlapning med en tidligere opdaget SystemdMiner-variant, men indeholder også betydelige ændringer. Møntminedriftstruslen er udstyret med anti-VM-funktionaliteter, da den udfører en kontrol af VBoxGuestAdditions. Det kan også fjerne værktøjer til overvågning af cloudsikkerhed som Aegis. For at undgå potentiel konkurrence om de begrænsede ressourcer i det kompromitterede system fjerner truslen andre rivaliserende miner-scripts, processer og crontab-poster samt CPU-intensive processer inklusive ddg, systemopdateringer osv.
Kommunikation med Command-and-Control (C2, C&C) serverne etableres gennem SOCKS5 proxyer.