Postgres İşlemlerinde Verileri Çalmak İçin Bir Kötü Amaçlı Yazılım Gizleme


Aqua Nautilus’taki siber güvenlik araştırmacıları, PostgreSQL veritabanlarını hedef alan PG_MEM adlı yeni bir kötü amaçlı yazılımı ortaya çıkardı.

Bu gelişmiş kötü amaçlı yazılım, erişim sağlamak için kaba kuvvet saldırıları kullanıyor, meşru PostgreSQL süreçlerinin içine gizleniyor ve en sonunda kripto para madenciliği yaparken verileri çalıyor.

Bu makalede PG_MEM’in karmaşık işleyişi, saldırı akışı ve veritabanı güvenliği açısından etkileri ele alınmaktadır.

PostgreSQL ve Kaba Kuvvet Saldırılarını Anlamak

PostgreSQL, yaygın olarak Postgres olarak bilinen, esnekliği ve güvenilirliğiyle bilinen sağlam bir açık kaynaklı ilişkisel veritabanı yönetim sistemidir.

Ancak Aqua Nautilus’un bir raporuna göre, popülaritesi onu siber suçlular için de bir hedef haline getiriyor. PostgreSQL’e yönelik kaba kuvvet saldırıları, zayıf parolaları kullanarak erişim sağlanana kadar veritabanı kimlik bilgilerini tekrar tekrar tahmin etmeye çalışmayı içerir.

Saldırganlar, sisteme girdikten sonra COPY … FROM PROGRAM SQL komutunu kullanarak keyfi komutlar yürütebilir ve bu sayede veri hırsızlığı veya kötü amaçlı yazılım dağıtma gibi kötü amaçlı faaliyetler gerçekleştirebilirler.

Postgres'e karşı başarısız kaba kuvvet girişimini gösteren Wireshark'tan ekran görüntüsü
Postgres’e karşı başarısız kaba kuvvet girişimini gösteren Wireshark’tan ekran görüntüsü

PG_MEM’in Saldırı Akışı

Aşama 1: Kaba Kuvvet Saldırısı

PG_MEM saldırısının ilk aşaması, PostgreSQL veritabanına erişim elde etmek için kaba kuvvet girişimini içeriyor.

Bu, saldırganın kullanıcı adı ve şifreyi başarıyla tahmin etmesine kadar çok sayıda oturum açma girişimini içerir.

Erişim sağlandıktan sonra saldırgan komutları yürütebilir ve veritabanı ortamını manipüle edebilir. Başarısız Kaba Kuvvet Girişimi

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial

Aşama 2: Azim Kazanma

Saldırgan erişim sağladıktan sonra veritabanında bir süper kullanıcı rolü oluşturur ve bu sayede kontrolü elinde tutabilir ve tespit edilmekten kaçınabilir.

Bu, kullanıcı rollerini ve ayrıcalıklarını manipüle etmek için SQL komutlarını yürütmeyi, saldırganın erişimi korurken diğerlerini kısıtlamasını sağlamayı içerir. Bir Süper Kullanıcı Arka Kapısı Oluşturma

Tehdit aktörünün yeni bir süper kullanıcı oluşturma emri
Tehdit aktörünün yeni bir süper kullanıcı oluşturma emri

Aşama 3: Sistem Keşfi ve Yük Teslimatı

Saldırgan, PostgreSQL’in özelliklerini kullanarak sistem bilgilerini toplar ve kötü amaçlı yükler gönderir.

Saldırganın uzak sunucusundan PG_Core zararlı yazılımının da aralarında bulunduğu iki dosya indirilerek çalıştırılarak kripto para madenciliği yapıldı.

Kötü amaçlı yazılım, tespit edilmekten kaçınmak için kodlanmış komutlar kullanılarak akıllıca gizlenir ve çalıştırılır.

PG_Core kötü amaçlı yazılımının teslimi
PG_Core kötü amaçlı yazılımının teslimi

Kripto Para Madenciliğinde PG_MEM’in Rolü

PG_MEM, XMRIG olarak bilinen bir kripto para madencisi için bir dropper görevi görür. Dağıtıldığında, sistemin kaynaklarından yararlanarak madencilik operasyonunu optimize eder.

Saldırgan, PG_MEM’in sürekli yürütülmesini sağlayan cron işleri oluşturarak kalıcılık oluşturur ve böylece tehlikeye atılan sunucu üzerinde kontrolü sürdürür. Kripto Para Madenciliği Yapılandırması

Kripto para birimi verilerinin madenciliği
Kripto para birimi verilerinin madenciliği

Açığa Çıkmış PostgreSQL Sunucuları: Artan Bir Endişe

PG_MEM’in keşfi, ifşa edilmiş PostgreSQL sunucularının güvenlik açığını vurgular. İnternete bağlı cihazlar için bir arama motoru olan Shodan’da yapılan bir arama, 800.000’den fazla herkese açık PostgreSQL veritabanını ortaya çıkardı.

Bu, bu tür saldırılara karşı koruma sağlamak için güçlü güvenlik önlemlerine acil ihtiyaç duyulduğunun altını çiziyor. Shodan’da Açığa Çıkarılmış PostgreSQL Sunucuları

İnternete bakan Postgres sunucularını aramanın Sodan'daki sonuçları

PG_MEM saldırısı, MITRE ATT&CK çerçevesinde özetlenen çeşitli tekniklerle uyumludur.

Bunlara kamuya açık uygulamaları istismar etme, komut ve betik yorumlayıcısı yürütme, hesap manipülasyonu ve kaynak ele geçirme dahildir. Bu teknikleri anlamak etkili savunma stratejileri geliştirmeye yardımcı olabilir.

Kuruluşların PG_MEM ve benzeri tehditlere karşı korunmak için derinlemesine savunma yaklaşımını benimsemeleri gerekiyor.

Bunlara güçlü parola politikalarının uygulanması, düzenli güvenlik denetimleri ve Aqua’nın Çalışma Zamanı Koruması gibi çalışma zamanı algılama ve yanıt araçlarının kullanılması dahildir.

Bu tür araçlar şüpheli davranışları gerçek zamanlı olarak tespit edebilir ve potansiyel güvenlik açıkları hakkında önemli bilgiler sağlayabilir.

Veri hırsızlığını kripto para madenciliğiyle birleştiren PG_MEM kötü amaçlı yazılımı, PostgreSQL veritabanları için karmaşık bir tehdit oluşturuyor.

Siber tehditler gelişmeye devam ettikçe, kuruluşların veritabanlarının kötü amaçlı faaliyetlere karşı korunmasını sağlamak için güvenlik önlemlerini artırmaları gerekir.

Saldırganların kullandığı taktikleri anlayarak ve güçlü savunmalar uygulayarak işletmeler kritik verilerini koruyabilir ve operasyonel bütünlüklerini koruyabilirler.

Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial



Source link