Botnet PGMiner

Les opérations de crypto-jacking ont été la nouvelle tendance des cybercriminels. L'objectif final est presque toujours le même: le déploiement d'une charge utile de crypto-minage sur la machine compromise. Là où les innovations les plus rapides ont été observées, c'est le vecteur de compromis initial utilisé par chaque botnet de crypto-mining. Désormais, les chercheurs d'Infosec pensent avoir découvert le premier botnet de ce type qui utilise une vulnérabilité d'exécution de code à distance (RCE) PostgreSQL pour compromettre les serveurs de bases de données. Le nom donné à la menace est PGMiner Botnet et utilise les ressources des victimes infectées pour extraire des pièces Monero.

En termes de cibles potentielles, PostgreSQL se classe parmi les systèmes de gestion de bases de données relationnelles (SGBDR) open-source les plus largement utilisés lorsqu'il s'agit d'établir des environnements de production. Plus précisément, depuis novembre 2020, PostgreSQL est devenu le 4e SGBD le plus utilisé. Il faut noter que la vulnérabilité exploitée par le botnet PGMiner porte la balise «contesté». À la base, il représente une fonctionnalité permettant aux super-utilisateurs locaux ou distants d'exécuter des scripts shell arbitraires directement sur les serveurs. En 2019, la fonctionnalité a été reconnue comme une vulnérabilité et a reçu la désignation CVE-2019-9193. Cependant, la communauté PostgreSQL a fait valoir que la fonctionnalité en elle-même est parfaitement sûre tant que le statut de super-utilisateur n'est accordé qu'aux parties de confiance, associé à des systèmes de contrôle d'accès et d'authentification fonctionnant correctement.

Chaîne d'attaque de PGMiner

L'activité d'infection commence par l'exploitation de la vulnérabilité controversée de PostgreSQL et se poursuit avec le déploiement d'une charge utile d'extraction de pièces menaçante. Les criminels responsables de PGMiner ont établi plusieurs charges utiles, et celle à utiliser est décidée par l'architecture spécifique du périphérique compromis.

La charge utile PGMiner la plus intéressante s'appuie sur les architectures x86-64. Il s'agit d'un fichier de charge utile exécutable ELF qui présente un chevauchement comportemental significatif avec une variante SystemdMiner précédemment détectée, mais qui contient également des modifications importantes. La menace d'extraction de pièces est équipée de fonctionnalités anti-VM car elle vérifie les VBoxGuestAdditions. Il peut également supprimer les outils de surveillance de la sécurité du cloud tels que Aegis. Pour éviter une concurrence potentielle pour les ressources limitées du système compromis, la menace supprime d'autres scripts, processus et enregistrements crontab de mineurs rivaux, ainsi que les processus gourmands en ressources processeur, y compris ddg, mises à jour du système, etc.

La communication avec les serveurs Command-and-Control (C2, C&C) est établie via les proxys SOCKS5.