分析：针对 PostgreSQL 数据库的勒索软件攻击

2017 年，我们报告了一场针对 MySQL 和 MongoDB 的数据库勒索软件活动。从那时起，我们在 Imperva 威胁研究实验室的 PostgreSQL 数据库上观察到类似的攻击策略。 

一般来说，攻击流程包含：

• 针对已知用户和弱密码对数据库进行暴力攻击
• 收集所有逻辑数据库以及每个数据库中所有表的列表
• 对于每个表，攻击者都会执行以下操作
  • 获取每个表的所有列的列表
  • 查询表并收集数据
  • 删除表——攻击者在窃取文件后删除文件的一种方法
• 完成所有表后，删除数据库
• 完成所有数据库后，创建一个新数据库和一个新表，插入勒索字条，索要一定数量的比特币 (BTC) 以换取勒索数据。
• 通常，勒索信中会包含一条威胁信息，暗示如果不支付赎金，数据将被公开。
  

最近，我们发现这种针对我们的 PostgreSQL 数据库的勒索软件攻击，并且我们观察到了一些有趣的事实。

攻击者如何欺骗 PostgreSQL 数据库勒索软件的目标

在分析攻击时我们可以看到两个主要指标：

1. 攻击者执行查询来获取逻辑数据库大小。

PostgreSQL 查询示例

2. 攻击者执行查询仅获取每个表的一小部分记录。

这使我们假设攻击者不会返还受害者的数据，而只会在受害者要求时共享大小和样本数据作为证据。攻击者并不打算收集整个数据库，只是为了欺骗受害者，让他们认为他们已经做到了。

终止和控制

由于其一般流程，我们已确定此数据库勒索软件攻击是“打了就跑”式的攻击。还有另一个指标需要添加。

攻击者执行的命令之一是：

简单来说，后端是处理数据库客户端连接的进程。

我们可以看到攻击者试图终止所有这些后端进程，而不是试图以隐秘的方式进行。执行这些尝试可能是为了解锁数据库对象以供以后删除。

勒索软件注释

攻击的最后阶段是创建新的数据库以及包含勒索信息的新表。

我们可以看到攻击者索要的比特币数量相对较少。索要小额赎金可能会“快速获胜”，而不是索要大笔赎金，这是“肇事逃逸”式攻击的另一个标志。

阻止 PostgreSQL 数据库勒索软件攻击的建议

• 正如我们之前所看到的，攻击者不愿意返还受害者的完整数据。数据库活动监控或本机审计可以帮助数据库勒索软件受害者了解已采取的内容并了解其针对攻击者的真实状态。
• 登录失败可能表明攻击处于初始访问阶段。创建您自己的登录分析以针对这些情况发出警报或使用风险分析产品。
• 不要将您的数据库暴露在互联网上。有一些已知的解决方案（例如 VPN）可以处理对数据库的安全访问。超过 650,000 个 PostgreSQL 数据库面向互联网，其中 99% 使用默认端口 5432。如果您必须向互联网开放数据库（即使不是），请将数据库配置从侦听默认端口更改为至少已知端口。
• 将您的数据库置于防火墙后面。
• 为您的数据库创建备份和灾难恢复计划，定期监控这些进程，并定期测试它们。

文章标题：Analysis: A Ransomware Attack on a PostgreSQL Database

文章作者：Omri Cohen

文章来源：https://securityboulevard.com/2023/10/analysis-a-ransomware-attack-on-a-postgresql-database/