PGMiner, công cụ đào tiền ảo hoàn toàn mới

Một mạng botnet khai thác tiền ảo nền tảng Linux hoàn toàn mới vừa được phát hiện, khai thác lỗ hổng thực thi mã từ xa (RCE) PostgreSQL để tấn công các máy chủ cơ sở dữ liệu.


Theo các nhà nghiên cứu tại Palo Alto Networks, công cụ đào tiền ảo có tên PGminer, khai thác lỗ hổng CVE-2019-9193 trong PostgreSQL (hay Postgres). Đây là một hệ quản trị cơ sở dữ liệu nguồn mở phổ biến trong lĩnh vực sản xuất.
Tin tặc đã khai thác tính năng "copy from program" trong PostgreSQL của phiên bản 9.3 ra mắt tháng 09/2013.
Tính năng này cho phép "siêu người dùng" (superuser) local hoặc từ xa chạy lệnh shell trực tiếp trên máy chủ. Tuy nhiên, chưa có nguy cơ về việc thực thi mã từ xa nếu quyền superuser không được cấp cho người dùng từ xa hoặc user không đáng tin cậy và hệ thống kiểm soát truy cập, xác thực được cấu hình đúng. Còn ngược lại, PostgreSQL có thể cho phép thực thi mã từ xa trên hệ điều hành của máy chủ vì tin tặc có thể có quyền "siêu người dùng" bằng các tấn công brute-force mật khẩu hoặc tiêm nhiễm lệnh SQL.

Kịch bản sau đó mà PGMiner thực hiện:
Mẫu mã độc mà Palo Alto Networks phân tích có liên kết tĩnh đến một thư viện máy trạm (libpq postgresql), thường được sử dụng quét các máy chủ cơ sở dữ liệu.
Kẻ tấn công quét cổng 5432 (0x1538), được sử dụng bởi PostgreSQLql. Mã độc chọn ngẫu nhiên một dải mạng public (ví dụ: 190.0.0.0, 66.0.0.0) nhằm thực thi mã từ xa trên máy chủ PostgreSQL. Nếu người dùng ‘postgres’ là user mặc định của cơ sở dữ liệu, kẻ tấn công sẽ thực hiện tấn công brute-force lặp đi lặp lại trên danh sách mật khẩu phổ biến như là 112233 và 1q2w3e4r để bẻ khóa xác thực cơ sở dữ liệu.
Sau khi đột nhập với tư cách "siêu người dùng", mã độc lợi dụng lỗ hổng CVE-2019-9193, tính năng ‘copy from program’ tải xuống và chạy các lệnh đào tiền ảo.
Công cụ đào tiền ảo thực hiện cách tiếp cận fileless (không dùng đến file trên máy tính), xóa bảng PostgreSQL ngay sau khi đoạn mã được chạy. PGMiner xóa bảng “abroxu” (nếu có) sau đó tạo một bảng “abroxu” mới với một cột text và lưu payload mã độc vào đó. Từ đó, chúng sẽ thực thi payload này trên máy chủ PostgreSQL và xóa bảng đã được tạo.
Sau khi được cài đặt, mã độc sử dụng curl để thực hiện các tác vụ. Curl là một công cụ dòng lệnh để trao đổi dữ liệu với máy chủ. Nếu curl không có sẵn trên máy nạn nhân, đoạn mã độc sẽ thử nhiều cách để có thể tải xuống tệp nhị phân curl và thêm nó vào các đường dẫn thực thi, bao gồm: Cài đặt trực tiếp từ các tiện ích quản lý package như apt-get và yum; tải xuống curl từ GitHub; hoặc tải xuống bằng /dev/tcp trong trường hợp hai cách đầu tiên không hoạt động.
Một cách tiếp cận thứ 3, thú vị hơn đó là nhắm vào địa chỉ IP mục tiêu: 94 [.] 237 [.] 85 [.] 89. Địa chỉ này được kết nối với miền newt [.]keetup [.]com. Trong khi tên miền cha của nó, keepup [.]com, có vẻ giống như một trang web kinh doanh hợp pháp thì subdomain lại chuyển hướng cổng 80 sang cổng 443, được sử dụng để lưu trữ một couchdb có tên là newt. Mặc dù cổng 8080 không được mở public, nhưng các nhà nghiên cứu tin rằng nó được cấu hình để cho phép Cross-Origin Resource Sharing (CORS).

Bước tiếp theo là kết nối đến máy chủ C&C thông qua proxy SOCKS5, sau đó thu thập thông tin hệ thống và gửi về để nhận dạng nạn nhân nhằm xác định xem phiên bản payload cần tải về.
Sau khi giải quyết địa chỉ IP máy chủ proxy SOCKS5, PGMiner sẽ duyệt qua một danh sách các folder để tìm thư mục đầu tiên cho phép tạo file và cập nhật các thuộc tính của nó. Điều này đảm bảo payload trong mã độc được tải xuống có thể thực thi thành công trên máy nạn nhân.

Kế tiếp là dọn dẹp môi trường. Công cụ này loại bỏ các công cụ giám sát bảo mật đám mây như Aegis và các tiện ích giám sát Qcloud (Yunjing); kiểm tra các máy ảo; kill tất cả các tiến trình chuyên sâu của CPU như cập nhật hệ thống và kill các tiến trình khai thác của đối thủ.
Công đoạn cuối cùng là bắt đầu đánh cắp hiệu năng của bộ xử lý CPU để đào tiền ảo.

PGMiner liên tục tự tái tạo bằng cách tải xuống một số mô-đun nhất định. Máy chủ C&C cho dòng mã độc này liên tục cập nhật. Các mô-đun khác nhau sẽ được phân phối trên các C&C khác nhau.
Mã độc được tải xuống sẽ mạo danh tiến trình “tracepath” để che giấu sự hiện diện của nó.

Để bảo vệ máy chủ, người dùng PostgreSQL có thể xóa quyền “pg_execute_server_program” khỏi những user không đáng tin cậy hoặc có thể tìm kiếm và hủy tiến trình “tracepath” và các tiến trình có PID được theo dõi bởi phần mềm độc hại trong “/tmp/.X11-unix/”.

Các nhà nghiên cứu cũng cho biết, công cụ đào tiền ảo này có thể dễ dàng phát triển để nhắm mục tiêu vào hệ điều hành Windows và macOS.

Nguồn: Threatpost​