目次:
Ransomwareは最近、いくつかのセキュリティで保護されていないMongoDBインストールを打ち負かし、データを身代金にしました。ここでは MongoDB の内容を見て、MongoDBデータベースを保護し保護するためのいくつかの手順を見ていきます。
MongoDBとは
MongoDBは、柔軟な文書データモデルを使用してデータを格納するオープンソースのデータベースです。 MongoDBはテーブルと行を使って構築された従来のデータベースとは異なりますが、MongoDBはコレクションとドキュメントのアーキテクチャを使用します。
動的スキーマ設計に続いて、MongoDBはコレクション内のドキュメントが異なるフィールドと構造を持つことを可能にします。このデータベースはBSONと呼ばれる文書保管およびデータ交換フォーマットを使用します。これはJSONライクな文書のバイナリ表現を提供します。
RansomwareがMongoDBデータを攻撃する
最近、セキュリティ研究者であるVictor Gevers氏は、MongoDBのインストールが不十分であることに対する一連のRansomware攻撃があったとツイートしました。攻撃は昨年12月にクリスマスの2016年に始まり、その後数千のMongoDBサーバーに感染しています。
当初、VictorはMongoDBのインストールを200件発見し、身代金のために攻撃され保留されました。しかし、直ちに、感染したインストールが2000年のDBに上昇し、別のセキュリティ研究者Shodan Founder John Matherlyによって報告され、2017年の第1999> 週の終わりには、感染したシステムの数は27,000を超えました Ransomが要求した 攻撃者は、22人の犠牲者によって支払われた身代金として0.2 Bitcoins(約184米ドル)を要求していたという初期の報告が示唆された。現在、攻撃者は身代金の額を増やしており、Bitcoin(約906米ドル)を要求しています。
今回の公開以来、セキュリティ研究者はMongoDBサーバーをハイジャックする15人以上のハッカーを発見しました。その中で、電子メールハンドル
kraken0
を使用している攻撃者は、15,482を超えるMongoDBサーバーを攻撃して 、Bitcoinは1つのBitcoinに紛失データを返すよう要求しています。 MongoDBサーバーのハイジャックさらに多くのハッカーがRansomの間違って設定されたデータベースのアクセス、コピー、削除を同じようにしているため、2万8000人を超えています。また、Windows Ransomwareの流通に携わっていたKrakenも参加しています。 MongoDB Ransomwareはパスワードなしでインターネット経由でアクセスできるMongoDBサーバーをどうやって潜んでいますか?ハッカーの標的にされている人。したがって、サーバー をパスワード
なしで実行し、
デフォルトユーザー名
を採用したサーバー管理者は、ハッカーから簡単に発見されました。 さらに悪いことに、既存の身代金を自分のものに置き換えている他のハッカーグループによって再ハッキングされた は、犠牲者がデータを回復できるかどうかを問わず、適切な犯罪者に支払っているかどうかを知ることを不可能にします。したがって、盗まれたデータが返されるかどうかは確かではありません。したがって、たとえあなたが身代金を支払ったとしても、あなたのデータはまだ失われている可能性があります。 MongoDBセキュリティ サーバー管理者は、データベースにアクセスするための強力なパスワードとユーザー名を割り当てる必要があります。 MongoDBのデフォルトインストールを使用している企業は、ハッカーが最も標的にしている
ソフトウェアをアップデートし、認証を設定し、 ロックダウンポート27017 することもお勧めします。あなたのMongoDBデータを保護します。
アクセス制御と認証を実施します。
Start byサーバーのアクセス制御を有効にし、認証メカニズムを指定します。認証では、すべてのユーザーがサーバーに接続する前に有効な資格情報を提供する必要があります。 最新の MongoDB 3.4 リリースでは、ダウンタイムを招かずに保護されていないシステムに認証を設定することができます。ユーザーのニーズのセットに正確なアクセスを定義します。最小特権の原則に従います。 暗号化通信
暗号化されたデータは解釈が難しく、多くのハッカーがそれを正常に解読することはできません。すべての着信および発信接続に対してTLS / SSLを使用するようにMongoDBを設定します。 MongoDBクライアントのmongodコンポーネントとMongosコンポーネント間の通信を暗号化するには、TLS / SSLを使用します。MongoDB Enterprise 3.2を使用すると、WiredTigerストレージエンジンのネイティブEncryption at Restを、ストレージ内のデータを暗号化するように設定できます層。
- ネットワークエクスポージャーの制限
ネットワークエクスポージャーを制限するために、MongoDBが信頼できるネットワークで動作するようにします環境。
MongoDB Cloud ManagerおよびMongoDB Ops Managerは、Point-in-Timeリカバリを使用した継続的なバックアップを提供し、ユーザはアラートを有効にすることができます システムアクティビティの監査 システムを定期的に監査することで、データベースの不規則な変更を認識できるようになります。データベース構成とデータへのアクセスを追跡します。 MongoDB Enterpriseには、システムイベントをMongoDBインスタンスに記録できるシステム監査機能があります。
- 専用ユーザーでMongoDBを実行する
MongoDBプロセスを専用のオペレーティングシステムユーザーアカウントで実行します。アカウントにはデータにアクセスする権限があり、不要な権限はないことを確認してください。
- セキュアな設定オプションでMongoDBを実行する
MongoDBは特定のサーバー側操作のJavaScriptコードの実行をサポートしています:mapReduce、group、これらの操作を使用しない場合は、コマンド行で-noscriptingオプションを使用してサーバー側スクリプトを無効にします。
実稼働環境でMongoDBワイヤプロトコルのみを使用します。入力検証を有効にしたままにします。 MongoDBは、デフォルトでwireObjectCheck設定によって入力検証を有効にします。
- セキュリティテクニカル実装ガイド(該当する場合)
セキュリティテクニカル実装ガイド(STIG)には、米国国防総省の配備に関するセキュリティガイドラインが含まれています。 MongoDB Inc.は、必要に応じてSTIGに要望に応じてSTIGを提供します。
- セキュリティ標準への準拠を検討する
HIPAAまたはPCI-DSS準拠が必要なアプリケーションについては、MongoDBセキュリティリファレンスアーキテクチャ
- ここ
を参照して、主要セキュリティ機能を使用して、準拠したアプリケーションインフラストラクチャを構築することができます。
- MongoDBインストールがハッキングされているかどうかを調べる方法
データベースとコレクションを確認します。ハッカーは、通常、データベースとコレクションを削除し、新しいものに置き換える一方で、元の身代金を要求します。
- アクセス制御が有効な場合は、システムログを監査して、不正なアクセス試行または疑わしい活動を検出します。
身代金を支払った後もデータが返されるという保証はないことに注意してください。したがって、攻撃後に、不正なアクセスを防ぐために、クラスタを保護することを最優先にする必要があります。
バックアップを取ると、最新のバージョンを復元するときに、最新のバックアップと攻撃の時刻。詳細については、
- mongodb.com
。