一说起MongoDB数据库,大部分人的第一反应都是大量数据泄露,犯罪分子利用数据库配置漏洞进行未授权访问、拷贝、删除数据库内容,并以备份数据威胁受害者、索要赎金,而且这些数据泄露的小倒霉蛋都是正正经经的合法企业。
可是常在河边走,总有一天会湿鞋。Gootkit恶意软件背后的犯罪团伙犯了同样的错误,他们将MongoDB数据库连接到互联网而且没有设置密码。
Gootkit是什么?
Gootkit是一种恶意软件的名称。该恶意软件于2014年首次在野外被发现,并且此后一直在不断发展。Gootkit最初做为银行木马,它会感染受害者,在银行网站上激活,记录登录详细信息。
由于存在一个记录用户在银行网站上的活动的新型“ 视频抓取模块 ”,它在当时可是信息安全媒体的头版头条。
然而,在过去的几年里,Gootkit已经变成了一个更简单但更危险的信息窃取木马。
目前,Gootkit已经不再关注电子银行网站了。其现在的重点是从受感染的受害者那里收集大量信息,并将这些数据发送到远程服务器。它可以提取和泄露浏览历史记录、密码和cookie文件等数据,并支持从多种浏览器类型(从Chrome到Internet Explorer)中提取此信息。
此外,Gootkit还可以记录用户在Web表单中输入的内容。这不仅包括密码,还包括支付卡号。Gootkit还会定期截取受感染用户桌面的截图,收集有关主机PC平台的所有信息,并收集连接到PC的安全硬件上的数据。
两个泄漏的MONGODB服务器
虽然该组织大部分时间的操作都非常谨慎,但他们似乎最近犯了一个错误,因为他们的两个命令和控制服务器在7月份突然可以公开访问。
目前尚不清楚Gootkit组织是忘记设置密码,还是阻止访问这些服务器的防火墙出现了故障。这两台服务器都运行在MongoDB上,根据数据的内容,它们似乎聚合了来自三个Gootkit子僵尸网络的数据。
在数据库中,研究人员发现了名为“Luhnforms”的MongoDB集合,其中包含有关用户支付卡的详细信息。研究人员在两个数据库中找到了大约15,000个条目,据称代表了15,000张支付卡的详细信息。
每个“Luhnforms”条目包含收集支付卡数据的网站、浏览器和PC详细信息,以及支付卡本身的详细信息,以明文形式存储。
在名为“Windowscredentials”的MongoDB集合中,Gootkit恶意软件还记录了用户注册帐户或在恶意软件处于活动状态时登录的站点的用户名和凭据。该集合的名称表明恶意软件正在收集Windows用户凭据,但研究人员分析的数据表明这些凭据仅用于在线帐户。
用户名和密码以明文形式存储,研究人员找到了各种网站的凭证,从波兰的滑雪商店到Envato市场,从保加利亚政府机构到加密货币交易所。
以上并不是Gootkit收集的全部内容,该恶意软件还窃取了cookie文件,截取了用户屏幕截图,并收集了有关受感染计算机技术规范的详细信息。
但Gootkit MongoDB数据库并没有长时间暴露,7月10日起,这两台服务器都没有再次泄露信息。