逾 4000 台 elasticsearch 服务器遭 pos 恶意软件感染
2017-09-15 10:16:28
据外媒报道,网络安全公司 研究人员发现逾 4,000 台 elasticsearch 服务器遭两款流行恶意软件 alinapos 与 jackpos 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99% 的受感染服务器托管于亚马逊网络服务( aws )中。
恶意软件 alinapos 与 jackpos 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。
图一:2012 – 2014 年 pos 恶意软件传播数量图
近期,kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 elasticsearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)elasticsearch 命令和控制(c&c)服务器存在 pos 恶意软件。研究人员表示,攻击者使用 es 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 elasticsearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。
图二:研究人员检测结果
kromtech 研究员 bob diachenko 在博客中写道:“为什么是亚马逊 aws ?因为亚马逊网络服务提供免费的 t2 micro(ec2)实例,且存储磁盘空间最高可达 10 gb。与此同时,t2 micro 只允许安装在 es 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 es 服务器不仅具备 pos 恶意软件客户端的命令与控制(c&c)功能,还可作为 pos 僵尸网络的其中一处节点,允许攻击者从 pos 终端、ram 存储器或受感染的 windows 设备中收集、加密与转移用户私人信息。
图三:恶意软件 alinapos 与 jackpos 漏洞攻击分布
kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 elasticsearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。
原作者:india ashok, 译者:青楚
本文由 翻译整理,封面来源于网络。转载请注明“转自 hackernews.cc ” 并附上原文链接【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信