상세 컨텐츠

본문 제목

PgMiner 봇넷, 취약한 PostgreSQL 데이터베이스 공격

국내외 보안동향

by 알약4 2020. 12. 14. 09:06

본문

PgMiner botnet attacks weakly secured PostgreSQL databases

 

보안 연구원들이 PostgreSQL 데이터베이스에 크립토마이너를 설치하는 봇넷 공격을 발견했습니다.

 

연구원들이 PgMiner라 명명한 이 봇넷은 금전적 이익을 얻기 위해 웹 기술을 노리는 수 많은 사이버 범죄 활동들 중에서 가장 최근 발견된 것입니다.

 

Palo Alto Networks Unit 42의 연구원들에 따르면, 이 봇넷은 인터넷에 연결된 PostgreSQL 데이터베이스에 브루트포싱 공격을 수행합니다.

 

이 공격은 간단한 패턴을 통해 수행됩니다.

 

봇넷은 공개 네트워크 범위 중 하나를 랜덤으로 뽑은 후 (: 18.xxx.xxx.xxx) 해당 범위 내 IP 주소에서 온라인에 PostgreSQL 포트(5432)를 노출하고 있는 시스템을 반복적으로 탐색합니다.

 

PgMiner가 활성화된 PostgreSQL 시스템을 발견할 경우, 스캔 단계에서 브루트포싱 단계로 이동하여 PostgreSQL의 기본 계정인 “postgres”의 자격 증명을 추측하기 위해 긴 비밀번호 목록을 사용합니다.

 

PostgreSQL 데이터베이스의 소유자가 해당 사용자를 비활성화 해 두지 않았거나 비밀번호를 변경하지 않았을 경우, 해커는 해당 데이터베이스에 접근하여 전체 OS를 장악하기 위해 PROGRAM 기능의 PostgreSQL COPY를 통해 그들의 접근 권한을 데이터베이스 앱에서 서버로 상승시킵니다.

 

PgMiner는 감염된 시스템을 더욱 확실히 파악한 후 탐지되기 전 되도록 많은 모네로를 채굴하기 위해 가상화폐 채굴 프로그램을 설치합니다.

 

Unit42에 따르면, 보고서를 작성할 당시 해당 봇넷은 Linux MIPS, ARM, x64 플랫폼에 채굴기를 배포할 수 있는 기능만 포함하고 있었습니다.

 

PgMiner 봇넷의 다른 눈에 띄는 특징은 운영자가 Tor 네트워크에서 호스팅되는 명령 및 제어(C2) 서버를 통해 감염된 봇을 제어한다는 것과 봇넷의 코드베이스가 SystemdMiner 봇넷과 유사하다는 점입니다.

 

 

<이미지 출처: https://unit42.paloaltonetworks.com/pgminer-postgresql-cryptocurrency-mining-botnet/>

 

 

PgMinerPostgreSQL 데이터베이스를 노리는 두 번째 코인 마이너 작전입니다. 지난 2018StickyDB 봇넷이 유사한 작전을 수행한 적이 있었습니다.

 

과거 가상화폐 채굴기를 설치하는 봇넷의 타깃이 된 다른 데이터베이스에는 MySQL, MSSQL, Redis, OrientDB가 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Linux.CoinMiner’로 탐지 중입니다.

 

 

 


출처: 

https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/

https://unit42.paloaltonetworks.com/pgminer-postgresql-cryptocurrency-mining-botnet/


관련글 더보기

댓글 영역