安全公司Imperva的研究人员上周表示,他们发现了一种针对PostgreSQL服务器的新攻击技术。攻击者在登录数据库时,会先创建各种不同的有效载荷,通过将这些有效载荷嵌入图片来躲避安全检测。这些有效负载最终将被提取到目标服务器的本地硬盘上,以便远程执行代码。
研究人员表示,这与他们最近检测到的攻击相同。攻击者的最终目的是在目标服务器上部署加密货币挖掘程序,以便利用服务器的计算资源来挖掘门罗币。但有趣的是,攻击者使用了美国女演员斯嘉丽约翰森的照片作为攻击媒介。
PostgreSQL是一种常用的开源数据库。与其他常见数据库一样,它也提供了一个Metasploit模块来简化与操作系统的交互。研究人员表示,在这次攻击中,攻击者使用了一个经过修改的Metasploit模块来启动与PostgreSQL的交互,以便在服务器上执行shell命令。
模块中的修改是为了避免数据库监控和审计系统(DAM)的安全检测,该系统旨在监控特权操作,如lo_export函数调用。在这次攻击中,攻击者使用lo_export函数将恶意软件的有效载荷转储到目标服务器的本地硬盘上。
一旦攻击者获得了执行系统命令的能力,他就可以通过执行lshw -c video命令获得服务器GPU的详细信息,通过运行cat /proc/cpuinfo获得服务器CPU的详细信息。掌握了这些信息之后,剩下的就是门罗钱币开采计划的实施了。
根据攻击者钱包地址显示的信息,到目前为止他们已经收集了312枚门罗硬币,价值约9万美元。同时也意味着很多PostgreSQL服务器成为了受害者。
看到这里,大家可能不感兴趣,那我们就回到斯嘉丽约翰逊的照片上来。在这次攻击中,攻击者在图片中嵌入了有效载荷,并将其上传到imagehousing[。]com网站,这是一个供人们免费托管和分享图片的合法网站。恶意代码斯嘉丽约翰逊的左肘下,仅从图像本身,根本不会发现异常。当然,本文展示的图片绝对是“安全无毒”的美女照片。
攻击者为什么会选择利用名人的照片来嵌入恶意软件?Imperva的研究人员认为,这样做的主要目的是为了更容易欺骗安全产品。因为在真实的镜像文件或文档中附加二进制代码,不仅可以改变文件本身,还可以绕过大部分杀毒软件。
为了证明自己的说法,Imperva的研究人员使用Google VirusTotal引擎检测了本次攻击中三种不同形式的挖掘代码(图片链接、图片本身和挖掘代码)的安全性,结果如下:
图片链接:只有一款杀毒软件提示“恶意软件”;
图片本身:有3款杀毒软件发布安全提示;
挖掘代码:有18款杀毒软件给出安全提示。
另外,为了证明事态的严重性,研究人员决定让Shodan引擎的搜索结果告诉我们有多少PostgreSQL服务器容易被攻击者盯上。搜索结果显示,至少有71万台符合攻击要求的PostgreSQL服务器被暴露在网上,其中大部分位于波兰和美国。
Imperva表示,PostgreSQL服务器用户可以通过以下措施避免成为受害者:
注意lo_export的直接调用或者通过pg_proc中的条目间接调用;
注意调用C语言二进制文件的功能;
使用防火墙阻止从数据库传输到互联网的网络流量;
确保没有为数据库分配公共IP地址。如果已经分配了公共IP地址,请限制可以与之交互的主机(应用服务器或DBA客户端)。
本文由黑客视界综合网整理,图片均来自网络;请注明“转自黑客视界”,并附上链接。
