Awas! Botnet PGMiner Mengincar Pengguna Database PostgreSQL untuk menambang Cryptocurrency Monero

Simulasi-Botne-PGMiner-PostgreSQL

Belakangan ini memang banyak sekali serangan-serangan masif dan brutal yang menyerang website maupun database secara langsung dari berbagai sisi. Mulai dari penyebaran trojan, malware, ransomware ataupun adware yang ke semuanya memiliki dampak sangat berbahaya.

Kita tidak bisa menduga akan kedatangan sesuatu yang datang secara tiba-tiba yang menggunakan akses secara ilegal, biasanya peretas itu mula-mula mencari sebuah kerentanan yang dimiliki oleh website tersebut sebelum melakukan penyebaran ransomware, botnet dan sebagainya. Kerentanan yang paling sering dimanfaatkan adalah dari plugin, themes ataupun halaman login yang di brute force dan ini paling sering terjadi pada CMS WordPress dan Joomla.

November lalu, peneliti keamanan menemukan insiden penyerangan botnet yang dijuluki sebagai PGMiner. PGMiner sendiri tampaknya lebih condong mengarah kepada penyerangan sistem database PostgreSQL. Kebanyakan website untuk saat ini sudah mempercayakan database PostgreSQL sebagai sistem manajemen basis data yang bersifat open-source. Karena penggunaan dan sifatnya open-source beberapa sumber memberikan penilaian terhadap database PostgreSQL yang menempati peringkat keempat pada bulan November 2020.

Penyerangan botnet dilakukan dengan teknik brute force yang secara langsung menargetkan sistem database milik PostgreSQL yang tersebar luas di internet. Menurut peneliti keamanan, bot ini mengeksploitasi sejumlah kerentanan kritis termasuk bug Remote Code Execution atau lebih dikenal dengan sebutan RCE. Seperti yang kita ketahui, bug RCE ini dapat dijalankan dengan perintah jarak jauh yang dapat merusak sebuah website, entah itu mengenkripsi seluruh file, penghapusan database atau bahkan parahnya penyerang dapat melakukan apapun terhadap situs tersebut sesuai dengan tingkatan level yang ditemukan.

Menurut Palo Alto Networks Unit42, botnet PGMiner memanfaatkan fitur yang dimiliki oleh PostgreSQL yang disebut sebagai "copy from program" pada versi 9.3 yang diterbitkan tanggal 9 September 2013. Dalam kerentanan itu, PGMiner mengeksploitasinya menggunakan label CVE-2019-9193, karena fitur "copy from program" mempunyai function antara superuser dan pengguna yang tercakup dalam "pg_execute_server_program" dapat mengeksekusi kode arbitrer dalam sistem operasi database PostgreSQL.

Functionalitas pada fitur "copy from program" di versi 9.3 diaktifkan secara default pada sistem operasi Windows, Linux dan macOS. Namun, PostgreSQL menyangkal bahwa ini bukanlah sebuah kerentanan RCE sebagaimana yang dikutip dari laman resminya yang menjelaskan: 

"The COPY .. PROGRAM feature explicitly states that it can only be executed by database users that have been granted superuser privileges or the default role pg_execute_server_program. By design, this feature allows one who is granted superuser or pg_execute_server_program to perform actions as the operating system user the PostgreSQL server runs under (normally "postgres"). The default roles pg_read_server_files and pg_write_server_files that are mentioned in the CVE do not grant permission for a database user to use COPY .. PROGRAM." tulis PostgreSQL.

Tujuan utama dari serangan botnet PGMiner adalah untuk menginstall penambang cryptocurrency monero yang pada sistem database PostgreSQL. Awal serangan ini mencari sejumlah jaringan publik (misalnya, 190.0.0.0 atau 66.0.0.0) dan mencari port 5432. Port tersebut digunakan untuk menghubungkan ke database PostgreSQL. Informasi lebih lanjut mengenai port 5432 bisa baca disini.

Jika jaringan publik dan port sudah ditemukan, selanjutnya botnet PGMiner meluncurkan serangan menggunakan teknik brute force. Secara default, PostgreSQL memiliki nama pengguna "postgres" dengan password bawaan seperti "112233" dan "1q2w3e4r". Keakuratan berhasil atau tidaknya serangan brute force adalah tergantung pada wordlist yang digunakan untuk menyiasati ini banyak wordlist memasukkan nama pengguna dan password default dari berbagai macam sistem database.

Jika wordlist sudah tepat dengan data user dan password pada PostgreSQL, maka botnet PGMiner akan menggunakan fitur "copy from program" untuk mengunduh dan menjalankan kode script dengan tujuan menambang cryptocurrency di website korban.


PGMiner dijalankan untuk menambang cryptocurrency Monero yang secara langsung dari server dan menurut Palo Alto Unit42, botnet ini mengincar platform Linux MIS, ARM, dan x64.

Operator botnet PGMiner menggerakkan ini semua menggunakan command-control (C2) di server yang diketahui di hosting pada jaringan TOR Browser. Peneliti keamanan juga mengidentifikasi bahwa barisan kode PGMiner dipinjam dari botnet SystemdMiner karena memiliki kemiripan dengannya. Palo Alto juga menuturkan jika serangan ini diluncurkan dengan opsional lain maka bisa berdampak langsung ke semua sistem operasi utama PostgreSQL.

Bagi yang menggunakan database PostgreSQL, peneliti keamanan menyarankan untuk menggunakan sistem yang terbaru dan menerapkan keamanan yang ketat agar tidak disusupi oleh orang lain. Periksa juga terhadap nama proses yang tidak dikenal dan lebih teliti karena praktik botnet PGMiner dikabarkan dapat meniru proses yang terpercaya.

Posting Komentar

0 Komentar