보안 연구원들은 이번 주에 PostgreSQL 데이터베이스를 대상으로 암호화폐 채굴기를 설치하는 봇넷 작업을 발견했다.
연구원들이 PgMiner로 명명한 이 봇넷은 금전적 이익을 위해 웹 기술을 표적으로 하는 최근 사이버 범죄 활동 중 가장 최근에 나온 것이다.
Palo Alto Networks' Unit 42의 연구원들에 따르면, 이 봇넷은 인터넷에 접속할 수 있는 PostgreSQL 데이터베이스에 대해 무차별 대입 공격을 수행함으로써 작동한다고 한다.
공격은 단순한 패턴을 따른다.
봇넷은 임의로 공용 네트워크 범위(예: 18.xxx.xxx.xxx)를 선택한 다음 해당 범위의 모든 IP 주소를 반복하여 PostgreSQL 포트(port : 5432)가 노출된 시스템을 검색한다.
PgMiner가 활성 PostgreSQL 시스템을 찾은 경우, 봇넷은 무차별 대입 단계로 이동하여 기본 PostgreSQL 계정인 "postgres"에 대한 자격 증명을 추측하기 위해 긴 비밀번호 목록을 뒤섞기 시작한다.
만약 PostgreSQL 데이터베이스 소유자가 "postgres" 사용자를 비활성화하는 것을 잊었거나 암호를 변경하는 것을 잊은 경우, 해커는 데이터베이스에 액세스하여 Postgre 사용자 권한을 통해 PostgreSQL Copy from PROGRAM 기능을 사용하여 데이터베이스 앱에서 기본 서버로 액세스를 확장하고 전체 OS를 확보한다.
일단 감염된 시스템을 더 확실하게 파악한 후, PgMiner 운영자들은 코인 채굴 애플리케이션을 배포하고 탐지되기 전에 모네로 암호화폐를 최대한 채굴하려고 시도한다.
Unit 42에 따르면, 그들의 보고 당시 봇넷은 Linux MIPS, ARM, x64 플랫폼에 채굴자를 배치할 수 있는 능력만 갖추고 있었다고 한다.
[그림1. PgMiner 개요]
PgMiner 봇넷의 다른 주목할 만한 특징으로는 운영자들이 Tor 네트워크에서 호스팅 되는 명령과 제어(C2) 서버를 통해 감염된 봇을 제어해왔다는 점과 봇넷의 코드 베이스가 SystemdMiner 봇넷과 유사해 보인다는 점 등이 있다.
과거에도 암호화폐 채굴 봇넷의 표적이 된 데이터베이스 기술로는 MySQL, MSSQL, Redis, OrientDB 등이 있다.
출처
https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/
