Elasticsearche殭屍網路：超過4000台伺服器遭到兩款POS 惡意軟體感染

新聞 09-18

ES伺服器中發現POS惡意軟體

Kromtech 安全中心最近對一些可以公開訪問的ElasticSearch節點進行研究後發現，在ElasticSearch文件結構中存在一些與其沒有任何關係的可疑索引名稱。

原來，在這些ElasticSearch伺服器中有部分存放了AlinaPOS和JackPOS惡意軟體的C&C基礎架構文件。這兩種都是使用一系列不同技術來擦拭信用卡詳細信息的POS終端惡意軟體。

其中，Jack POS會試圖欺騙系統它是java或java實用程序。它可以將其自身直接複製到％APPDATA％目錄或％APPDATA％內的基於java的子目錄中。據悉，JackPOS會使用MAC地址作為殭屍ID，甚至可以對被盜的信用卡數據進行編碼，以便在被提取時不被發現。而Alina 是一個知名的POSRAM擦除器，第一次被發現是在2012年10月份，並於2014年衍生出JackPOS變種。目前，這兩大熱門惡意軟體仍在地下黑客論壇兜售擴散。

2014年，POS惡意軟體家族圖譜圖如下所示：

如今，該圖譜已經變得更加糟糕，範圍也更加廣泛。

儘管目前有一些安全警告和行業相關新聞稱，POS惡意軟體已經不再頻繁出現在頭條新聞中，但是數百萬持卡人仍然處在危險之中。Kromtech研究人員已經開始尋找有關該特定類型的惡意軟體的更新版本。令研究人員吃驚的是，目前，已經有更新版本的惡意軟體正在網上公開出售：

在網路犯罪追蹤站點上https://cybercrime-tracker.net/index.php?search=alina，我們發現了Alina惡意軟體的新樣本類型，使用VirusTotal對樣品進行檢測後發現，主流的殺毒引擎對這類惡意軟體的檢測率較低，如下圖所示：

即使對於相對較老的命令和控制（C＆C）伺服器託管站點而言，也沒有足夠的信息來標記真實存在的威脅。VirusTotal URL掃描儀的檢測結果顯示：在65個可用的防病毒引擎和網路掃描儀中，只有6個能夠識別新版本的POS惡意軟體，如下圖所示：

為什麼出現這種情況？

由於缺乏有效的身份認證，攻擊者可以在Elasticsearch伺服器上安裝惡意軟體。一旦惡意軟體發揮作用，犯罪分子就可以完全掌握整個系統的管理許可權，遠程訪問伺服器中的資源，甚至啟動代碼執行來竊取或完全銷毀伺服器中保存的所有數據。

在這個案例中，有大量部署在AWS上的 ElasticSearch實例遭到了攻擊者的惡意利用。此外，每個受感染的ES伺服器也是一個更大的POS殭屍網路的一部分，POS惡意軟體客戶端能夠收集、加密和轉儲從POS終端、RAM內存或受感染的Windows設備中竊取的信用卡信息。

POS惡意軟體使用的舊C & C介面如下圖所示：

我們使用Shodan（基於物聯網的搜索引擎）檢查了互聯網上有多少ES系統具有相似的感染跡象。結果發現，截至9月12日，共有近4000台受感染的ElasticSearch伺服器，其中大約99%是託管在AWS上。

那麼，為什麼幾乎所有的ES伺服器都是託管在AWS上呢？Kromtech首席通信官Bob Diachenko解釋稱，這是因為亞馬遜AWS服務為客戶提供免費的T2 micro（EC2）實例，其磁碟空間高達10GB，與此同時，只有ElasticSearch 1.5.2和2.3.2版本允許設置t2 micro。據悉，在被感染的4000多台伺服器中，52%運行ElasticSearch 1.5.2，47%運行ElasticSearch 2.3.2。

亞馬遜託管平台為用戶提供了「只需單擊幾次滑鼠就可以配置一個ES集群」的可能性，但通常人們在快速安裝過程中會跳過所有的安全配置。就是這樣一個簡單的失誤可能會造成非常嚴重的影響，在這個案例中，它就會暴露大量的敏感數據。