Conoce el ataque de malware Scarlett Johansson de PostgreSQL

Conoce el ataque de malware Scarlett Johansson de PostgreSQL

No es la primera vez que se utiliza una imagen de una persona famosa para mandar malware a una víctima, pero puede ser la primera vez que se usa de forma tan restringida. Según la firma de seguridad Imperva, su honeypot del sistema de administración de bases de datos StickyDB (DBMS) ha descubierto un ataque que coloca malware, que minaba Monero, en los servidores PostgreSQL DBMS. ¿Su vector de ataque? Una imagen de la estrella de Hollywood Scarlett Johansson.

Ahora, podría preguntar: "¿Cuántos servidores PostgreSQL DBMS hay en Internet para ser atacados?" La respuesta: "Más de lo que esperabas". Una búsqueda en Shodan reveló casi 710,000 servidores PostgreSQL listos para ser pirateados. Parece que hay muchos de ellos porque es demasiado fácil, especialmente en Amazon Web Services (AWS), configurar servidores PostgreSQL sin poner medidas de seguridad.

Los ataques de malware de criptomonedas son cada vez más comunes. Por qué no? Estos ataques sigien siendo rentables. El minero Smominru solo ha infectado al menos medio millón de máquinas, en su mayoría servidores Windows, y ha ganado al menos 3.6 millones de dólares.

Mientras que Smominru usó el exploit EternalBlue relativamente sofisticado para realizar este método de ataque con el ocultamiento de datos (malware) en una imagens. En este ataque, lo que parece ser una imagen de Scarlett tiene una carga útil de malware.

Una vez que la víctima descarga la imagen, trata de abrirse paso a la fuerza bruta en su DBMS. Dado que una instancia de PostgreSQL no debería estar simplemente en Internet en primer lugar, es muy probable que tampoco se haya asegurado de otra manera. Un vez sistema esta comprometido se usa PostgreSQL para ejecutar comandos de shell Linux o Unix para instalar un minero de criptomonedas de Monero.

Además de intentar extenderse a otros objetivos y ocultarse, el programa comienza a buscar para ver si su servidor tiene acceso a una GPU.

Si el ataque tiene éxito, lo primero que sabrá es cuando su factura mensual de su cloud es mucho más alta de lo esperado. Según Impervia, la mayoría de los programas antivirus no detectan este ataque.

¿Entonces que puedes hacer?

  • Tener cuidado con las llamadas directas de PostgreSQL a lo_export o llamadas indirectas a través de entradas pg_proc.
  • Tener cuidado con las funciones de PostgreSQL que invocan binarios en lenguaje C.
  • Usar un firewall para bloquear el tráfico de red saliente desde su base de datos a Internet.
  • Asegúrese de que su base de datos no esté asignada con una dirección IP pública. Si es así, restrinja el acceso solo a los hosts que interactúan con él (servidor de aplicaciones o clientes propiedad de DBA).

Read more