PG_MEMは、PostgreSQLを悪用するマルウェアです。
どういった内容なのでしょうか。
- PostgreSQL
これはオープンソースのリレーショナルデータベース管理システム(RDBMS)です。
商用目的でも無償で利用できるライセンス形式のオープンソースソフトウェアですので、いろいろな用途でいろいろな場所で利用されています。
このPostgreSQLが、今回のマルウェアの舞台となります。 - 入口はPostgreSQL
そのままですが、入り口はPostgreSQLです。
ネットワーク上に公開されたPostgreSQLが入り口となります。
まずは脅威アクターの動作としては、この公開されたPostgreSQLにブルートフォースすることから始まります。 - 管理ユーザ作成
ブルートフォースが成功してしまうと、そのアカウントを使用して対象システムにログインし、管理権限のあるユーザを作成します。 - 管理業務の妨害
管理権限のあるユーザが手に入ると、次は管理操作を妨害します。
脅威アクターが作成したユーザ以外の管理ユーザの管理権限を取り外します。
これにより、攻撃行為を阻止することが難しくできてしまいます。 - 情報収集
侵害先のシステムの情報を収集します。
PostgreSQLの持つOSコマンド実行機能を利用し、OSの情報を集めます。 - ペイロードの送り込み
環境の確認が終わったら、ペイロードを送り込みます。
ペイロードの送り込みもPostgreSQLの機能を使用して行われます。
情報収集でも使用していたPostgreSQLのOSコマンド実行機能を駆使し、外部のTCPポートへ接続させ、バイナリを送り込みます。
送り込んだバイナリは現地でファイルとして保存されます。
これが現地での仕事を実行する1つ目のファイルとなります。 - 環境整備
送り込まれたファイルを使って環境を整備します。
システムの管理者の設定したcronジョブや他の攻撃者の実施する活動を無効化します。
これにより、侵害したシステムの全能力を自分で使うことのできる状態にします。
準備が整うと、このバイナリは破棄されます。 - pg_mem
これは2番目に送り込まれるバイナリです。
これが脅威アクターの目的の活動を実施するものとなります。
pg_memはXMRクリプトマイナーを含むドロッパーであり、暗号通貨マイニング操作の最適化を担当します。
XMRはMoneroのことです。
このドロッパーは動作を開始すると、3番目のバイナリを持ち込みます。
これはmemoryという名称で、ELFバイナリのXMRIG暗号通貨マイナーです。
ELF形式なので、想定されたOSはLinuxということになります。
PostgreSQLはデータベースソフトウェアですので、Webサーバやアプリケーションサーバからのみ利用できればいいように思います。
しかし、実際には多くのPostgreSQLがインターネット上に直接公開された状態で動作しています。
ある時点で確認しますと、インターネットに公開されたPostgreSQLは、実に80万システム以上も存在しています。
これらのシステムは、本当に直接インターネットに公開されているべきなのでしょうか。
予測しにくいパスワードを使用するだとか、システムに脆弱性がないように運用するだとか、実施すべきことは多くありますが、そもそものシステムの構成が脆弱な場合、こういった被害に遭遇する可能性を作ってしまいます。
システムの構成が妥当であるのかということを、もっと意識しなければならないと感じます。
PG_MEM: A Malware Hidden in the Postgres Processes
https://www.aquasec.com/blog/pg_mem-a-malware-hidden-in-the-postgres-processes/
| この記事をシェア |
|
|---|
