當前位置:
首頁 > 最新 > 超過4000台Elasticsearch伺服器被POS惡意軟體感染

超過4000台Elasticsearch伺服器被POS惡意軟體感染

最新 09-15

前情提要

Kromtech公司的安全人員最近在研究互聯網上暴露的大量可公開訪問的Elasticsearch(ES)節點的問題,發現了一些可疑的指標,其中有一些文件與AlinaPOS和JackPOS惡意軟體有關。

Jack POS是一個POS終端惡意軟體,作用是從計算機內存中試圖讀取信用卡的細節信息;

Alina 是一個知名的POSRAM擦除器,第一次被發現是在2012年10月份。

JackPOS和Alina都是POS終端惡意軟體,試圖從計算機內存中讀取信用卡信息,根據計算機運行的內存的不同版本,適用不同的技術。這類惡意軟體在2012年開始流行起來:

2014年,POS終端惡意軟體家族圖譜圖如下所示:

如今,情況變得更糟了。

最近,我們開始尋找這類惡意軟體的任何伺服器上發現的文件樣本和更新。

令我們吃驚的是,新版本的惡意軟體正在網上公開發售:

在cybercrime-tracker(網路犯罪追蹤)站點上搜索Alina的新樣本類型【https://cybercrime-tracker.net/index.php?search=alina】,並使用VirusTotal對樣品進行檢測,結果發現主流的殺毒引擎對這類惡意軟體的檢測率較低,如下圖所示:

即使是比較老的(C&C)伺服器託管網站,由於沒有足夠的信息,VirusTotal URL掃描儀的檢測結果也不理想:

為什麼會發生這種事?

對於互聯網上的暴露的、缺乏有效認證的Elasticsearch伺服器,攻擊者能夠完全掌握這些實例的控制權,類似與管理員一樣,允許攻擊者隱藏資源利用、遠程代碼執行、徹底銷毀以前保存的數據。

在這裡案例中,有一群部署在AWS上的 ElasticSearch實例被攻擊者惡意使用了。此外,每個受感染的ES伺服器也是一個更大的POS殭屍網路的一部分,POS惡意軟體客戶端負責收集、加密和傳輸從POS終端、RAM內存或受感染的Windows機器中竊取的信用卡信息。

POS終端惡意軟體之前的C & C介面如下圖所示:(來源-http://blog.malwaremustdie.org/2014/02/cyber-intelligence-jackpos-behind-screen.html)

使用Shodan(檢查互聯網上有多少ES系統具有相似的被感染的特徵。結果顯示,截至9月12日,有近4000台被感染的ElasticSearch伺服器,其中大約99%是託管在AWS上。

為什麼AWS?因為使用亞馬遜網路服務的用戶可以免費得到的多達10 GB磁碟空間的t2 micro (EC2)實例,而t2 micro僅允許使用ES1.5.2和ES2.3.2。

對用戶而言,使用基於AWS的ES服務非常簡便,可能單擊幾次滑鼠就可以配置一個ES集群了。

你不能寄希望於人人都遵守快速安裝指南中的安全配置(甚至,依照經驗,我們可以假設人們會跳過所有安全配置)。

從shodan.io搜索到的ES服務的結果中,發現一些類似的文件結構。我們比較了這些受感染的ES伺服器上可疑文件的修改時間,得出以下結論:

有不同的C&C惡意軟體包,這意味著伺服器被多次感染。

不同的C&C惡意軟體包,與不同的殭屍網路有關(POS惡意軟體不僅在暗網,而且在公共網路上也在出售)。

有很多伺服器被感染,相同惡意軟體包在不同伺服器上的感染時間可能不同,這是由於定期掃描和殭屍網路擴展導致的。

近99%的受感染的伺服器託管在AWS上。

約52%的受感染的伺服器運行ES 1.5.2版本,47% 運行ES 2.3.2版本,剩下的1%運行其他版本。

最近的感染髮生在2017年8月底。

下表中列出了我們發現的AWS上被AlinaPOS和JackPOS惡意軟體家族感染的ES實例的分布情況:

應對措施

強烈建議你採取以下有效的事件響應行動:

檢查基礎設施中所有伺服器上的日誌文件

檢查連接和流量

使用快照或備份所有正在運行的系統

提取到的惡意軟體樣本可以提交給安全服務提供商或其他專業的安全公司,便於做進一步分析

重裝所有被感染的系統,否則,您需要清理所有可疑進程、使用防病毒軟體對系統做全面檢測,持續監測您的系統,留意在未來3個月內的任何異常連接。

安裝最新的Elastic補丁,或完全地重新安裝最新版本。

關閉所有可從外部訪問的未使用的埠,或只允許受信任的IPs 白名單

另外,還可以從ES官方站點獲取相關的安全建議:

https://www.elastic.co/products/x-pack/security

ELK相關漏洞類型的統計結果,示意圖如下:

攻擊者一般通過ES漏洞利用或ES伺服器的錯誤配置,分發惡意軟體並控制ES伺服器,易受攻擊版本 Elasticsearch的版本分布情況如下圖所示:

受感染的ES伺服器的全球威脅感知景觀圖:

颱風降至,注意安全!

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 MottoIN 的精彩文章:

卡巴斯基報告:挖礦殭屍網路受害者數量攀升
錯過ISC2017現場不要緊,幸運的是,你還有我啊

TAG:MottoIN |