“PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL
นักวิจัยพบ Botnet “PgMiner” ที่ทำการโจมตีฐานข้อมูลของ PostgreSQL เพื่อติดตั้ง “Cryptocurrency miner”
นักวิจักกล่าวว่า Botnet “PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL
การโจมตีเป็นไปตามรูปแบบง่ายๆ Botnet จะทำการสุ่มเลือก Network Range (เช่น 18.xxx.xxx.xxx) แล้ววนซ้ำผ่าน IP Address ทั้งหมดใน Range นั้น เพื่อค้นหาระบบของ PostgreSQL
หาก PgMiner พบระบบ PostgreSQL Botnet “PgMiner” จะย้ายจาก Scanning Phase ไปยัง Brute-force Phase โดยจะสับเปลี่ยนรหัสผ่านยาว ๆ เพื่อพยายามเดา Credentials สำหรับ “postgres”
ซึ่งเป็น Default account ของ PostgreSQL
หากเจ้าของฐานข้อมูล PostgreSQL ลืมปิดการใช้งาน User “postgres” หรือลืมเปลี่ยนรหัสผ่าน Hackerจะเข้าถึงฐานข้อมูลและใช้ Feature “PostgreSQL COPY” เพื่อเพิ่มระดับการเข้าถึงจากฐานข้อมูล
ไปยัง Server พื้นฐานและเข้าควบคุมระบบปฏิบัติการทั้งหมด
เมื่อสามารถเข้าถึงระบบที่ติด Virus ได้แล้ว “PgMiner” จะใช้ Application Coin-mining เพื่อพยายามขุด Monero Cryptocurrency ให้มากที่สุดก่อนที่จะตรวจพบ
คุณสมบัติที่โดดเด่นของ Botnet “PgMiner” คือ ควบคุมระบบที่ติด Virus ผ่าน C2 Server ที่โฮสต์บนเครือข่าย Tor และ Codebase ของ Botnet “PgMiner” ดูเหมือนจะคล้ายกับ Botnet “SystemdMiner”
วิธีการป้องกัน
- ปิดการใช้งาน Default account หรือ หากต้องการใช้ Default account ให้ทำการเปลี่ยนรหัสผ่าน และใช้รหัสผ่านที่คาดเดาได้ยาก
- ไม่เข้าเว็บไซต์ที่สุมเสี่ยงต่อการโดน Malware
- ไม่ควร Download File ที่แนบมากลับ E-mail ที่ต้องสงสัย
ที่มา : https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/