Ungesicherte Datenbanken werden 18 Mal pro Tag von Hackern angegriffen
Wenn Sie eine Datenbank ungesichert im Internet zurücklassen, wie lange brauchen Hacker, um sie zu finden und zu stehlen?
Das Sicherheitsforschungsteam von Comparitech deckt regelmäßig ungesicherte oder falsch konfigurierte Server auf, die vertrauliche Benutzerdaten im Internet preisgeben. In einem typischen Szenario können unbefugte Dritte die Daten, die Unternehmen offengelegt haben, ohne Passwort oder andere Authentifizierung finden, darauf zugreifen und sogar ändern, was die Privatsphäre und Sicherheit der Benutzer gefährdet.
Obwohl wir unser Bestes tun, um den Verantwortlichen für die von uns entdeckten Gefährdungen schnell zu benachrichtigen, bleiben die Daten häufig einige Stunden bis hin zu einigen Wochen offen und angreifbar, während wir den Eigentümer ausfindig machen und auf eine Antwort warten.
In diesen Situationen ist die Zeit von entscheidender Bedeutung. Wir wollten herausfinden, wie schnell Daten kompromittiert werden können, wenn sie ungesichert bleiben.
Also, Wir haben einen Honeypot eingerichtet .
Unser Forschungsteam unter der Leitung des Cybersicherheitsexperten Bob Diachenko hat eine Simulation einer Datenbank auf einer Elasticsearch-Instanz erstellt – einer Art Cloud-Server, auf dem häufig Daten gespeichert werden – und darin gefälschte Benutzerdaten abgelegt. Dann haben wir es öffentlich zugänglich gemacht, um zu sehen, wer eine Verbindung dazu herstellen würde und wie sie versuchen würden, die Daten zu stehlen, zu kratzen oder zu zerstören.
Folgendes haben wir gefunden:
175 Angriffe beginnen nur 8 Stunden nach der Bereitstellung
Wir haben die Daten vom 11. Mai 2020 bis zum 22. Mai 2020 offengelegt. In diesem Zeitraum wurden 175 nicht autorisierte Anfragen gestellt. Wir bezeichnen diese Anfragen allgemein als „Angriffe“. Unser Honeypot verzeichnete durchschnittlich 18 Angriffe pro Tag.
Der erste Angriff erfolgte am 12. Mai, nur 8 Stunden und 35 Minuten nach dem Einsatz.
Um anfällige Datenbanken zu finden, nutzen viele Angreifer eine Internet-of-Things-Suchmaschine (IoT) wie Shodan.io oder BinaryEdge. Shodan hat unseren Honeypot am 16. Mai indiziert, was bedeutet, dass er dann in den Suchergebnissen aufgeführt wurde.
Innerhalb von nur einer Minute nach der Indexierung durch Shodan kam es zu zwei Angriffen. Die meisten Angriffe an einem einzigen Tag ereigneten sich am selben Tag, an dem die Datenbank indiziert wurde: insgesamt 22 Angriffe.
Es ist nichts wert, dass über drei Dutzend Angriffe stattfanden, bevor die Datenbank überhaupt von Suchmaschinen indiziert wurde. Dies zeigt, wie viele Angreifer auf ihre eigenen proaktiven Scan-Tools vertrauen, anstatt auf passive IoT-Suchmaschinen wie Shodan zu warten, um anfällige Datenbanken zu durchsuchen.
BinaryEdge hat die Datenbank am 21. Mai indiziert.
Suchmaschinen-Bots, die die Datenbank indizierten, wurden aus den Ergebnissen ausgeschlossen. Einige der Angreifer könnten plausibel Sicherheitsforscher ähnlich unserem eigenen Team gewesen sein, aber wir können oft nicht zwischen einem böswilligen und einem harmlosen Angreifer unterscheiden.
Der Ransomware-Bot hat die Daten zerstört
Am 29. Mai 2020 entdeckte ein bösartiger Bot den Honeypot. Es startete einen Angriff, der den Inhalt der Datenbank löschte und eine Nachricht mit Kontaktinformationen und einer Zahlungsaufforderung hinterließ (von Comparitech redigiert):
„Wenn Sie Ihre Daten wiederherstellen möchten, senden Sie 0,06 BTC an [redacted] und Sie müssen eine E-Mail mit Ihrer IP an [redacted] senden. Wenn Sie einen Nachweis Ihrer Daten benötigen, senden Sie einfach eine E-Mail. Wenn Sie keine Zahlung leisten, können alle Ihre Daten für unsere Zwecke verwendet und/oder weitergegeben/verkauft werden.
Da unsere Recherche zum Zeitpunkt des Angriffs bereits abgeschlossen war, haben die Forscher bereits die meisten Daten aus der Datenbank entfernt und es existierte nur noch ein Amazon Web Services-Abrechnungsindex. Der Honeypot-Server war jedoch weiterhin geöffnet und angreifbar.
Der Angriff begann mit einem Blick auf die Liste der Indizes mit dem Befehl |_+_|. Nachdem die Indexliste empfangen wurde, überprüfte der Angreifer den Inhalt des Standardindex mit dem Befehl |_+_|. Anschließend erstellte der Angreifer einen Index, in dem er das Dokument mit dem Lösegeldschein hinterließ.
Alle Anfragen erfolgten zwischen 9:10:27 und 9:10:32 EEST, was bedeutet, dass der Angriff fünf Sekunden dauerte. Der Angreifer nutzte GET-Methoden, um Indexinformationen abzurufen, DELETE zum Löschen und POST zum Hinterlassen von Anforderungsnachrichten.
Die IP-Adresse des Angreifers ist in den Niederlanden registriert, ebenso wie seine Zeitzone.
Die Angriffe hatten ihren Ursprung in den USA, Rumänien und China
Die Standorte wurden anhand der IP-Adressen der Angreifer ermittelt. Die meisten Angriffe kamen aus drei Ländern:
- 89 kamen aus den USA
- 38 kamen aus Rumänien
- 15 kamen aus China
IP-Adressen können mithilfe eines Proxys geändert werden, um den wahren Standort des Angreifers zu verschleiern. Nehmen Sie diese Ergebnisse also mit Vorsicht.
Welche Angriffsmethoden wurden verwendet?
Der Großteil der Anfragen zielte darauf ab, Informationen über den Status der Datenbank und ihrer Einstellungen zu erhalten.
- 147 Angriffe nutzten die GET-Anfragemethode
- 24 Angriffe nutzten die POST-Methode, die besonders bei Angriffen mit Ursprung in China beliebt war
- 1 Angriff nutzte die PUT-Methode mit der Absicht, die Serverkonfiguration zu ändern
- Bei einem Angriff wurde die OPTIONS-Methode verwendet, um Informationen über die Verbindung abzurufen
- Bei einem Angriff wurde die HEAD-Methode verwendet, um die Header von Anfragen abzurufen, ohne die Antworten zu erhalten
Andere Arten von Angriffen
Den Angreifern ging es nicht nur darum, Daten zu stehlen. Einige wollten Server kapern, um Kryptowährungen zu schürfen, Passwörter zu stehlen und Daten zu zerstören.
Kryptojacking
Einer der häufigsten Angriffe zielte auf einen Remote-Codeausführungs-Exploit auf Elasticsearch-Servern ab ( CVE-2015-1427 ). Einer hat versucht, ein Kryptomining-Skript zu installieren. Ziel des Angriffs ist es, sich über Java-Funktionen Zugriff auf die Elasticsearch-Umgebung zu verschaffen und den Bash-Script-Miner über einen herunterzuladenwgetBefehl.
Angriffe kamen von verschiedenen IP-Adressen, die Download-Quelle des Skripts war jedoch immer dieselbe. Der Angriff wurde mithilfe zweier Anfragen durchgeführt: einer mit Quellcode und einer verschleierten.
Diebstahl von Anmeldedaten
Ein weiterer häufiger Angriff zielte auf Passwörter ab, die im Server enthalten waren/etc/passwdDatei. Der Angriff nutzt die gleiche Schwachstelle wie der Cryptominer-Angriff sowie eine weitere Path-Traversal-Schwachstelle aus (CVE-2015-5531).
Der Angreifer nutzte einen Path-Traversal-Angriff mit zwei Anforderungsmethoden: GET und POST. Der erste enthielt den Pfad in der Anforderungsadresse und der zweite verwendete Java-Funktionen zum Abrufen von Dateien.
Konfigurationsänderungen
Ein Angreifer versuchte, die Serverkonfiguration so zu ändern, dass alle darin gespeicherten Daten gelöscht werden konnten. Der Angreifer versuchte, die Firewall des Servers auszuschalten, indem er iptables deaktivierte.