พบ “PgMiner” โจมตีฐานข้อมูลของ PostgreSQL !!!

“PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL

นักวิจัยพบ Botnet “PgMiner” ที่ทำการโจมตีฐานข้อมูลของ PostgreSQL เพื่อติดตั้ง “Cryptocurrency miner”

นักวิจักกล่าวว่า Botnet “PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL 

การโจมตีเป็นไปตามรูปแบบง่ายๆ Botnet จะทำการสุ่มเลือก Network Range (เช่น 18.xxx.xxx.xxx) แล้ววนซ้ำผ่าน IP Address ทั้งหมดใน Range นั้น เพื่อค้นหาระบบของ PostgreSQL  

หาก PgMiner พบระบบ PostgreSQL Botnet “PgMiner”  จะย้ายจาก Scanning Phase ไปยัง  Brute-force Phase โดยจะสับเปลี่ยนรหัสผ่านยาว ๆ เพื่อพยายามเดา Credentials สำหรับ “postgres” 

ซึ่งเป็น Default account ของ PostgreSQL

หากเจ้าของฐานข้อมูล PostgreSQL ลืมปิดการใช้งาน User “postgres”  หรือลืมเปลี่ยนรหัสผ่าน Hackerจะเข้าถึงฐานข้อมูลและใช้ Feature “PostgreSQL COPY” เพื่อเพิ่มระดับการเข้าถึงจากฐานข้อมูล

ไปยัง Server พื้นฐานและเข้าควบคุมระบบปฏิบัติการทั้งหมด 

เมื่อสามารถเข้าถึงระบบที่ติด Virus ได้แล้ว “PgMiner” จะใช้ Application Coin-mining เพื่อพยายามขุด Monero Cryptocurrency ให้มากที่สุดก่อนที่จะตรวจพบ 

คุณสมบัติที่โดดเด่นของ Botnet “PgMiner” คือ ควบคุมระบบที่ติด Virus ผ่าน C2 Server ที่โฮสต์บนเครือข่าย Tor และ Codebase ของ Botnet “PgMiner” ดูเหมือนจะคล้ายกับ Botnet “SystemdMiner”

วิธีการป้องกัน 

  1. ปิดการใช้งาน Default account หรือ หากต้องการใช้ Default account ให้ทำการเปลี่ยนรหัสผ่าน และใช้รหัสผ่านที่คาดเดาได้ยาก 
  2. ไม่เข้าเว็บไซต์ที่สุมเสี่ยงต่อการโดน Malware  
  3. ไม่ควร Download File ที่แนบมากลับ E-mail ที่ต้องสงสัย 

ที่มา : https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/ 

 

Share