Блог

Незащитените бази данни са атакувани 18 пъти на ден от хакери

Атакувани са незащитени бази данни



Ако оставите база данни незащитена в мрежата, колко време отнема на хакерите да я намерят и откраднат?

Екипът за изследване на сигурността на Comparitech редовно разкрива незащитени или неправилно конфигурирани сървъри, които изпускат чувствителни потребителски данни в мрежата. В типичен сценарий неупълномощени трети страни могат да намерят, получат достъп и дори да променят данните, които организациите са оставили открити без парола или друго удостоверяване, излагайки на риск поверителността и сигурността на потребителя.



Въпреки че правим всичко възможно, за да предупредим бързо всеки, който е отговорен за откритите експозиции, данните често остават открити и уязвими от няколко часа до няколко седмици, докато преследваме собственика и чакаме отговор.

Времето е от съществено значение в тези ситуации. Искахме да разберем колко бързо данните могат да бъдат компрометирани, ако останат незащитени.



Така, създадохме меден съд .

Нашият изследователски екип, оглавяван от експерта по киберсигурност Боб Дяченко, създаде симулация на база данни на екземпляр на Elasticsearch – тип облачен сървър, в който често се съхраняват данни – и постави фалшиви потребителски данни вътре в него. След това го оставихме публично изложен, за да видим кой ще се свърже с него и как ще се опита да открадне, изтрие или унищожи данните.

Ето какво открихме:

175 атаки, започващи само 8 часа след разгръщането

honeypot атаки на ден диаграма

Оставихме данните открити от 11 май 2020 г. до 22 май 2020 г. През това време бяха направени 175 неразрешени искания. Ние най-общо наричаме тези искания „атаки“. Нашият honeypot имаше средно 18 атаки на ден.

Първата атака дойде на 12 май, само 8 часа и 35 минути след разполагането.

honeypot първа атака

За да намерят уязвими бази данни, много нападатели използват търсачка за интернет на нещата (IoT) като Shodan.io или BinaryEdge. Shodan индексира нашия honeypot на 16 май, което означава, че след това беше посочен в резултатите от търсенето.

В рамките на само една минута след индексирането от Shodan бяха извършени две атаки. Най-големият брой атаки за един ден се случи в същия ден, в който базата данни беше индексирана: общо 22 атаки.

honeypot атаки след индекс

Не струва нищо, че са извършени над три дузини атаки, преди базата данни дори да бъде индексирана от търсачките, демонстрирайки колко много нападатели разчитат на собствените си проактивни инструменти за сканиране, вместо да чакат пасивни IoT търсачки като Shodan да обхождат уязвими бази данни.

BinaryEdge индексира базата данни на 21 май.

Ботовете на търсачките, индексиращи базата данни, бяха изключени от резултатите. Някои от нападателите вероятно са били изследователи по сигурността, подобни на нашия собствен екип, но често не можем да направим разлика между злонамерен и добронамерен нападател.

Ransomware бот унищожи данните

На 29 май 2020 г. злонамерен бот откри honeypot. Той стартира атака, която изтри съдържанието на базата данни и остави съобщение с информация за контакт и искане за плащане (редактирано от Comparitech):

съобщение за бот за рансъмуер

“ Ако искате да възстановите данните си, изпратете 0,06 BTC на [редактиран] и трябва да изпратите имейл на [редактиран] с вашия IP. Ако имате нужда от доказателство за вашите данни, просто изпратете имейл. Ако не извършите плащане, всички ваши данни може да бъдат използвани за нашите цели и/или ще бъдат изтекли/продадени ”

Тъй като нашето изследване вече беше приключило по време на атаката, изследователите вече премахнаха повечето от данните от базата данни и все още съществуваше само индекс за фактуриране на Amazon Web Services. Сървърът на honeypot обаче все още беше отворен и уязвим.

Атаката започна с преглед на списъка с индекси с командата |_+_|. След получаване на списъка с индекси, атакуващият прегледа съдържанието на индекса по подразбиране с командата |_+_|. След това нападателят създава индекс, където оставя документа с бележката за откупа.

Всички заявки са извършени между 9:10:27 и 9:10:32 EEST, което означава, че атаката е продължила пет секунди. Нападателят използва GET методи за получаване на информация за индекса, DELETE за изтриване и POST за оставяне на съобщения за заявка.

IP адресът на нападателя е регистриран в Холандия, както и тяхната часова зона.

Атаките са с произход от САЩ, Румъния и Китай

Местоположенията бяха определени с помощта на IP адресите на нападателите. Най-много атаки произхождат от три държави:

  • 89 идват от САЩ
  • 38 са дошли от Румъния
  • 15 идват от Китай

IP адресите могат да се променят с помощта на прокси, за да се маскира истинското местоположение на нападателя, така че приемете тези резултати с резерв.

Какви методи за атака са използвани?

По-голямата част от заявките имаха за цел да получат информация за състоянието на базата данни и нейните настройки.

  • 147 атаки са използвали метода на заявка GET
  • 24 атаки използват метода POST, който е особено популярен за атаки, произхождащи от Китай
  • 1 атака използва метода PUT с намерението да промени конфигурацията на сървъра
  • 1 атака използва метода OPTIONS, за да получи информация за връзката
  • 1 атака използва метода HEAD, за да получи заглавките на заявките, без да получи отговорите

Други видове атаки

Нападателите не се интересуват само от кражба на данни. Някои искаха да отвлекат сървъри, за да копаят криптовалута, да откраднат пароли и да унищожат данни.

Криптоджакинг

Една от най-честите атаки беше насочена към експлойт за отдалечено изпълнение на код на сървъри на Elasticsearch ( CVE-2015-1427 ). Един се опита да инсталира скрипт за криптодобиване. Целта на атаката е да се получи достъп до средата Elasticsearch чрез java функции и да се изтегли копачът на bash скриптове с помощта наwgetкоманда.

Атаките идват от различни IP адреси, но източникът на изтегляне на скрипта винаги е един и същ. Атаката беше извършена с помощта на две заявки: една с изходен код и една, която беше обфусцирана.

Кражба на удостоверение

Друга често срещана атака е насочена към пароли, съдържащи се в сървърните/etc/passwdфайл. Атаката използва същата уязвимост като атаката на криптомайнер плюс друга уязвимост при преминаване на пътя (CVE-2015-5531).

Нападателят използва атака за преминаване на пътя, използвайки два метода за заявка, GET и POST. Първият съдържаше пътя в адреса на заявката, а вторият използваше java функции за извличане на файлове.

Промени в конфигурацията

Един нападател се опита да промени конфигурацията на сървъра по начин, който би им позволил да изтрият всички данни, съхранявани вътре. Нападателят се опита да изключи защитната стена на сървъра, като деактивира iptables.

^