Ransomware hat kürzlich einige ungesicherte MongoDB-Installationen angerichtet und die Daten für Lösegeld gehalten. Hier werden wir sehen, was ist MongoDB Schauen Sie sich einige Schritte an, die Sie zur Sicherung und zum Schutz der MongoDB-Datenbank unternehmen können. Zunächst einmal eine kurze Einführung zu MongoDB.

Was ist MongoDB?

MongoDB ist eine Open-Source-Datenbank, in der Daten mithilfe eines flexiblen Dokumentdatenmodells gespeichert werden. MongoDB unterscheidet sich von herkömmlichen Datenbanken, die mit Tabellen und Zeilen erstellt werden, während MongoDB eine Architektur von Sammlungen und Dokumenten verwendet.

Nach einem dynamischen Schemaentwurf ermöglicht MongoDB, dass die Dokumente in einer Sammlung unterschiedliche Felder und Strukturen haben. Die Datenbank verwendet ein Dokumentenspeicherungs- und Datenaustauschformat namens BSON, das eine binäre Darstellung von JSON-ähnlichen Dokumenten bereitstellt. Dadurch wird die Datenintegration für bestimmte Arten von Anwendungen schneller und einfacher.

Ransomware greift MongoDB-Daten an

Victor Gevers, ein Sicherheitsforscher, hat kürzlich getwittert, dass es eine Reihe von Ransomware-Angriffen auf schlecht gesicherte MongoDB-Installationen gab. Die Angriffe starteten im vergangenen Dezember um Weihnachten 2016 und haben seitdem Tausende MongoDB-Server infiziert.

Zunächst entdeckte Victor 200 MongoDB-Installationen, die angegriffen und als Lösegeld gehalten wurden. Bald jedoch stiegen die infizierten Installationen auf 2000 DBs an, wie von einem anderen Sicherheitsforscher, Shodan-Gründer John Matherly, und am Ende des 1. Jahrhunderts berichtet wurdest In der Woche 2017 waren mehr als 27.000 Systeme betroffen.

Lösegeld verlangt

In ersten Berichten wurde vermutet, dass Angreifer 0,2 Bitcoins (ca. 184 US-Dollar) als Lösegeld forderten, das von 22 Opfern bezahlt wurde. Derzeit haben die Angreifer das Lösegeld erhöht und fordern nun 1 Bitcoin (ca. 906 USD).

Seit der Entdeckung haben die Sicherheitsforscher mehr als 15 Hacker identifiziert, die an der Entführung von MongoDB-Servern beteiligt sind. Darunter ein Angreifer, der E-Mail-Handle verwendet kraken0 hat gefährdete mehr als 15.482 MongoDB-Server und fordert 1 Bitcoin, um die verlorenen Daten zurückzugeben.

Bislang sind die gekaperten MongoDB-Server um mehr als 28.000 gewachsen, da immer mehr Hacker dasselbe tun, indem sie auf schlecht konfigurierte Datenbanken für Ransom zugreifen, diese kopieren und löschen. Daneben hat sich auch Kraken angeschlossen, eine Gruppe, die zuvor an der Distribution von Windows Ransomware beteiligt war.

Wie schleicht sich die MongoDB Ransomware ein?

MongoDB-Server, die ohne Kennwort über das Internet erreichbar sind, wurden von den Hackern angesprochen. Daher Serveradministratoren, die sich für die Ausführung ihrer Server entschieden haben ohne Passwort und beschäftigt Standard-Benutzernamen wurden leicht von den Hackern entdeckt.

Was noch schlimmer ist, es gibt Fälle, in denen derselbe Server vorhanden ist von verschiedenen Hacker-Gruppen erneut gehackt die bereits vorhandene Lösegeldscheine durch eigene ersetzt haben, wodurch es den Opfern nicht möglich ist zu wissen, ob sie überhaupt den richtigen Verbrecher zahlen, geschweige denn, ob ihre Daten wiederhergestellt werden können. Daher ist es nicht sicher, ob die gestohlenen Daten zurückgegeben werden. Selbst wenn Sie das Lösegeld bezahlt haben, können Ihre Daten daher immer noch verschwunden sein.

MongoDB-Sicherheit

Serveradministratoren müssen für den Zugriff auf die Datenbank ein sicheres Kennwort und einen Benutzernamen vergeben. Unternehmen, die die Standardinstallation von MongoDB verwenden, wird ebenfalls empfohlen Aktualisieren Sie ihre Software, Authentifizierung einrichten und sperren Sie den Port 27017 die von den Hackern am häufigsten angegriffen wurde.

Schritte zum Schutz Ihrer MongoDB-Daten

  1. Erzwingen Sie die Zugriffssteuerung und Authentifizierung

Beginnen Sie mit, indem Sie die Zugriffssteuerung Ihres Servers aktivieren und den Authentifizierungsmechanismus angeben. Für die Authentifizierung müssen alle Benutzer gültige Anmeldeinformationen angeben, bevor sie eine Verbindung zum Server herstellen können.

Das Neueste MongoDB 3.4 Mit dieser Version können Sie die Authentifizierung für ein ungeschütztes System ohne Ausfallzeiten konfigurieren.

  1. Richten Sie rollenbasierte Zugriffssteuerung ein

Erstellen Sie nicht den vollständigen Zugriff auf eine Gruppe von Benutzern, sondern erstellen Sie Rollen, die den genauen Zugriff einer Gruppe von Benutzeranforderungen definieren. Folgen Sie dem Prinzip des geringsten Privilegs. Erstellen Sie dann Benutzer und weisen Sie ihnen nur die Rollen zu, die sie für ihre Vorgänge benötigen.

  1. Kommunikation verschlüsseln

Verschlüsselte Daten sind schwer zu interpretieren und nur wenige Hacker können sie erfolgreich entschlüsseln. Konfigurieren Sie MongoDB für die Verwendung von TLS / SSL für alle eingehenden und ausgehenden Verbindungen. Verwenden Sie TLS / SSL, um die Kommunikation zwischen Mongod- und Mongos-Komponenten eines MongoDB-Clients sowie zwischen allen Anwendungen und MongoDB zu verschlüsseln.

Mit MongoDB Enterprise 3.2 kann die native Encryption at Rest der WiredTiger Storage Engine so konfiguriert werden, dass Daten in der Speicherebene verschlüsselt werden. Wenn Sie die WiredTiger-Verschlüsselung im Ruhezustand nicht verwenden, sollten MongoDB-Daten auf jedem Host mit Dateisystem, Gerät oder physischer Verschlüsselung verschlüsselt werden.

  1. Begrenzen Sie die Netzwerkbelastung

Um die Netzwerkbelastung zu begrenzen, stellen Sie sicher, dass MongoDB in einer vertrauenswürdigen Netzwerkumgebung ausgeführt wird. Administratoren sollten nur vertrauenswürdigen Clients den Zugriff auf die Netzwerkschnittstellen und Ports ermöglichen, auf denen MongoDB-Instanzen verfügbar sind.

  1. Sichern Sie Ihre Daten

MongoDB Cloud Manager und MongoDB Ops Manager bieten eine fortlaufende Sicherung mit Wiederherstellung zu einem bestimmten Zeitpunkt, und Benutzer können Warnungen in Cloud Manager aktivieren, um festzustellen, ob ihre Bereitstellung im Internet verfügbar ist

  1. Audit-Systemaktivität

Durch das regelmäßige Überwachen von Systemen wird sichergestellt, dass Sie unregelmäßige Änderungen an Ihrer Datenbank erkennen. Verfolgen Sie den Zugriff auf Datenbankkonfigurationen und Daten.MongoDB Enterprise umfasst eine Systemprüfungsfunktion, die Systemereignisse in einer MongoDB-Instanz aufzeichnen kann.

  1. Führen Sie MongoDB mit einem dedizierten Benutzer aus

Führen Sie MongoDB-Prozesse mit einem dedizierten Betriebssystembenutzerkonto aus. Stellen Sie sicher, dass das Konto über Berechtigungen zum Zugriff auf Daten verfügt, jedoch keine unnötigen Berechtigungen.

  1. Führen Sie MongoDB mit sicheren Konfigurationsoptionen aus

MongoDB unterstützt die Ausführung von JavaScript-Code für bestimmte serverseitige Vorgänge: mapReduce, group und $ where. Wenn Sie diese Vorgänge nicht verwenden, deaktivieren Sie die serverseitige Skripterstellung mithilfe der Option –noscripting in der Befehlszeile.

Verwenden Sie bei Produktionsbereitstellungen nur das MongoDB-Drahtprotokoll. Lassen Sie die Eingabevalidierung aktiviert. MongoDB aktiviert standardmäßig die Eingabevalidierung über die Einstellung wireObjectCheck. Dadurch wird sichergestellt, dass alle von der Mongod-Instanz gespeicherten Dokumente gültige BSON sind.

  1. Fordern Sie gegebenenfalls ein sicheres technisches Implementierungshandbuch an

Das Security Technical Implementation Guide (STIG) enthält Sicherheitsrichtlinien für Bereitstellungen im US-Verteidigungsministerium. MongoDB Inc. stellt auf Anfrage seinen STIG für Situationen zur Verfügung, in denen dies erforderlich ist. Sie können eine Kopie anfordern, um weitere Informationen zu erhalten.

  1. Beachten Sie die Einhaltung der Sicherheitsstandards

Informationen zu Anwendungen, die HIPAA- oder PCI-DSS-Konformität erfordern, finden Sie in der MongoDB Security Reference Architecture Hier Erfahren Sie mehr darüber, wie Sie die wichtigsten Sicherheitsfunktionen zum Aufbau einer kompatiblen Anwendungsinfrastruktur verwenden können.

So stellen Sie fest, ob Ihre MongoDB-Installation gehackt ist

  • Überprüfen Sie Ihre Datenbanken und Sammlungen. Die Hacker legen normalerweise Datenbanken und Sammlungen ab und ersetzen sie durch eine neue, während sie ein Lösegeld für das Original fordern
  • Wenn die Zugriffskontrolle aktiviert ist, überprüfen Sie die Systemprotokolle auf nicht autorisierte Zugriffsversuche oder verdächtige Aktivitäten. Suchen Sie nach Befehlen, mit denen Ihre Daten gelöscht, Benutzer geändert oder der Lösegeldforderungseintrag erstellt wurde.

Beachten Sie, dass es keine Garantie gibt, dass Ihre Daten auch nach Zahlung des Lösegelds zurückgegeben werden. Nach dem Angriff sollten Sie daher vor der Angriffe Ihre Cluster vor unberechtigten Zugriffen schützen.

Wenn Sie Sicherungen durchführen, können Sie zum Zeitpunkt der Wiederherstellung der neuesten Version auswerten, welche Daten sich seit der letzten Sicherung und dem Zeitpunkt des Angriffs geändert haben. Für mehr können Sie besuchen mongodb.com.

Top-Tipps:
Kommentare: