1.5萬台未加保護的Elasticsearch伺服器有27%遭PoS惡意軟體感染

E安全9月14日訊 Kromtech安全中心發現ElasticSearch伺服器上4000多個實例遭遇兩款PoS惡意軟體感染：AlinaPOS和JackPOS。

研究人員上周常規掃描時發現這些暴露的ElasticSearch伺服器。初次發現後，Kromtech團隊使用Shodan搜索引擎發現超過1.5萬台ElasticSearch伺服器暴露在網上，而未部署任何形式的安全驗證。

2012年PoS惡意軟體圖

2014年PoS惡意軟體圖

Kromtech表示，其中至少4000台（約27%）伺服器上有AlinaPOS和JackPOS控制與命令伺服器的特定文件。由於這些伺服器又主要包含PoS惡意軟體控制面板，Kromtech研究人員進一步發現，網路犯罪組織可能是利用ElasticSearch伺服器隱藏控制與命令伺服器。

99%被感染的伺服器託管在亞馬遜雲服務AWS上

Kromtech分析後發現，被這些PoS惡意軟體感染的ElasticSearch伺服器中，其中99%託管在亞馬遜AWS服務上。

Kromtech首席通信官鮑勃迪亞秦科（Bob Diachenko）解釋稱，這是因為亞馬遜AWS服務提供免費的t2 micro（EC2）實例，磁碟空間高達10GB，與此同時，只有ElasticSearch 1.5.2和2.3.2版本允許設置t2 micro。

被感染的4000多台伺服器中，52%運行ElasticSearch 1.5.2，47%運行ElasticSearch 2.3.2。

文件時間戳顯示，感染自2016年開始，最近的感染髮生於2017年8月。除此之外，研究人員還發現相同的PoS惡意軟體具有不同的數據包，相關證據證明伺服器曾被感染多次。

受影響的部分公司已收到通知

Kromtech已經通知了部分受影響的企業。亞馬遜已經接到了通知，但仍未作任何回應。

Diachenko指出，美國IP地址上的伺服器遭遇的感染最嚴重。Kromtech仍在分析數據進一步確定被感染伺服器的數量。

AlinaPOS和JackPOS是臭名昭著的威脅，前者於2012年底浮出水面，並於2014年衍生出JackPOS變種。這兩大熱門惡意軟體在地下黑客論壇兜售，目前仍在積極擴散。

ElasticSearch伺服器用戶相關安全指南：http://t.cn/RpOm0PH

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！