Wit - stock.adobe.com
PostgreSQL détourné avec un code de mineur de Monero caché dans une photo
Le code du mineur est caché dans une image hébergée sur un site Web légitime afin d'assurer à l'attaquant une furtivité maximale. Et l'opération de cryptojacking s'avère une nouvelle fois fructueuse.
Cela ne fait pas de doute : les cyber-délinquants ne manquent pas de créativité quand il s’agit de détourner des systèmes vulnérables afin de miner des crypto-deniers – en laissant le soin à leurs victimes de payer pour la charge de traitement sur leur facture électrique. Les exemples se multiplient depuis la fin de l’année dernière et les chercheurs d’Imperva viennent de se pencher sur un autre, visant cette fois-ci des instances de gestionnaire de bases de données relationnelles PostgreSQL.
Dans un billet de blog, Elad Erez, directeur d’Imperva en charge de l’innovation, et Luda Lazar, ingénieur spécialisé dans la recherche en sécurité, se sont penchés sur un technique d’attaque originale : « après s’être authentifié sur le serveur, l’attaquant a créé des traitements variés, mis en œuvre des techniques de furtivité via des binaires cachés dans une image téléchargée, extrait ces exécutables sur disque, puis lancé leur exécution à distance ». Le tout pour finir par miner du Monero.
Pour éviter d’être détecté par certaines solutions de supervision, l’attaquant se garde de faire un appel direct à une fonction qui lui permettrait d’extraire directement un binaire sur disque. Mais il n’en dispose pas moins de quoi commencer à enquêter sur la nature et les caractéristiques de l’hôte compromis, masquant son appel à une fonction C dans une requête SQL. De là, il récupère les détails du CPU et du GPU installés.
Mais l’attaquant n’installe pas directement un code spécialisé dans le minage de crypto-deniers. Ce pourrait être trop visible. Jouant toujours la carte de la furtivité, il lance le téléchargement d’une image, hébergée sur un site Web tout ce qu’il y a de légitime. Et de maquiller encore une fois l’opération en simple requête SQL.
L’attaquant continue d’utiliser cette méthode pour, cette fois-ci, extraire l’exécutable caché dans l’image, une photo de Scarlett Johansson, dans le cas présent, avant de le lancer dans le minage de Monero, et d’effacer les traces de ses actions intermédiaires. A date, l’attaquant a réussi à miner ainsi près de 317 xmr, soit près de 55 000 €.
Bien sûr, comme le soulignent Elad Erez et Luda Lazar, un attaquant déjà présent sur un système d’information peut y chercher des instances PostgreSQL via des outils tels que Nmap. Mais la première étape, pour les cyber-délinquants, est peut-être d’aller chercher celles accessibles directement en ligne. Le moteur de recherche spécialisé Shodan recense à ce jour près de 550 000 instances PostgreSQL exposées sur Internet, dont près de 11 500 en France.
Après avoir choisi sa cible, un attaquant « peut essayer d’accéder en force brute au compte d’utilisateur par défaut afin d’entrer, avant d’appliquer certaines des techniques décrites » pour détourner un serveur.
