Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

本文涉及的产品
检索分析服务 Elasticsearch 版,2核4GB开发者规格 1个月
简介: 本文讲的是Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染,Kromtech 安全中心最近对一些可以公开访问的ElasticSearch节点进行研究后发现,在ElasticSearch文件结构中存在一些与其没有任何关系的可疑索引名称。
本文讲的是 Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

ES服务器中发现POS恶意软件

Kromtech 安全中心最近对一些可以公开访问的ElasticSearch节点进行研究后发现,在ElasticSearch文件结构中存在一些与其没有任何关系的可疑索引名称。

原来,在这些ElasticSearch服务器中有部分存放了AlinaPOS和JackPOS恶意软件的C&C基础架构文件。这两种都是使用一系列不同技术来擦拭信用卡详细信息的POS终端恶意软件。

其中,Jack POS会试图欺骗系统它是java或java实用程序。它可以将其自身直接复制到%APPDATA%目录或%APPDATA%内的基于java的子目录中。据悉,JackPOS会使用MAC地址作为僵尸ID,甚至可以对被盗的信用卡数据进行编码,以便在被提取时不被发现。而Alina 是一个知名的POSRAM擦除器,第一次被发现是在2012年10月份,并于2014年衍生出JackPOS变种。目前,这两大热门恶意软件仍在地下黑客论坛兜售扩散。

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

2014年,POS恶意软件家族图谱图如下所示:

 Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

如今,该图谱已经变得更加糟糕,范围也更加广泛。

尽管目前有一些安全警告和行业相关新闻称,POS恶意软件已经不再频繁出现在头条新闻中,但是数百万持卡人仍然处在危险之中。Kromtech研究人员已经开始寻找有关该特定类型的恶意软件的更新版本。令研究人员吃惊的是,目前,已经有更新版本的恶意软件正在网上公开出售:

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

在网络犯罪追踪站点上https://cybercrime-tracker.net/index.php?search=alina,我们发现了Alina恶意软件的新样本类型,使用VirusTotal对样品进行检测后发现,主流的杀毒引擎对这类恶意软件的检测率较低,如下图所示: Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

即使对于相对较老的命令和控制(C&C)服务器托管站点而言,也没有足够的信息来标记真实存在的威胁。VirusTotal URL扫描仪的检测结果显示:在65个可用的防病毒引擎和网络扫描仪中,只有6个能够识别新版本的POS恶意软件,如下图所示:

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

为什么出现这种情况?

由于缺乏有效的身份认证,攻击者可以在Elasticsearch服务器上安装恶意软件。一旦恶意软件发挥作用,犯罪分子就可以完全掌握整个系统的管理权限,远程访问服务器中的资源,甚至启动代码执行来窃取或完全销毁服务器中保存的所有数据。

在这个案例中,有大量部署在AWS上的 ElasticSearch实例遭到了攻击者的恶意利用。此外,每个受感染的ES服务器也是一个更大的POS僵尸网络的一部分,POS恶意软件客户端能够收集、加密和转储从POS终端、RAM内存或受感染的Windows设备中窃取的信用卡信息。

POS恶意软件使用的旧C & C接口如下图所示:

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

我们使用Shodan(基于物联网的搜索引擎)检查了互联网上有多少ES系统具有相似的感染迹象。结果发现,截至9月12日,共有近4000台受感染的ElasticSearch服务器,其中大约99%是托管在AWS上。

那么,为什么几乎所有的ES服务器都是托管在AWS上呢?Kromtech首席通信官Bob Diachenko解释称,这是因为亚马逊AWS服务为客户提供免费的T2 micro(EC2)实例,其磁盘空间高达10GB,与此同时,只有ElasticSearch 1.5.2和2.3.2版本允许设置t2 micro。据悉,在被感染的4000多台服务器中,52%运行ElasticSearch 1.5.2,47%运行ElasticSearch 2.3.2。

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

亚马逊托管平台为用户提供了“只需单击几次鼠标就可以配置一个ES集群”的可能性,但通常人们在快速安装过程中会跳过所有的安全配置。就是这样一个简单的失误可能会造成非常严重的影响,在这个案例中,它就会暴露大量的敏感数据。

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

此外,Kromtech安全研究人员还从shodan.io上搜索到的ES服务的结果中,发现了类似的文件结构。然后,我们比较了这些受感染的ES服务器上可疑文件的修改时间,并得出了以下一些结论:

有不同的C&C恶意软件包,也就是说服务器被多次感染了;
不同的软件包可能与不同的僵尸网络有关(因为POS恶意软件不仅在暗网上出售,还在公共网络上出售);
有很多服务器被感染,由于定期扫描和僵尸网络扩展等因素,不同服务器上的相同恶意软件包的感染时间可能不同;
近99%的受感染的服务器托管在AWS上;
在受感染的服务器中,约有52%运行ES 1.5.2版本,47% 运行ES 2.3.2版本,剩下的1%运行其他版本;
最近的感染发生在2017年8月底;[object Object]

下表中显示了Kromtech安全中心发现的通过ES服务器和亚马逊安全配置中的漏洞被感染的AWS实例的分布情况:

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

缓解措施

Kromtech安全中心强烈建议您采取以下有效事件响应所需的操作,最大限度的降低此类威胁:

检查基础设施中所有服务器上的日志文件;
检查连接和流量;
对所有正在运行的系统进行快照和备份;
提取恶意软件样本并提交给我们进行进一步分析;
重新安装所有受影响的系统,否则,您需要清理所有可疑进程、使用防病毒软件对系统进行全面检测,并持续监测您的系统在未来3个月内的任何异常连接;
安装最新的Elastic补丁或完全地重新安装最新版本;
关闭所有可从外部访问的未使用的端口,或列出可信的IPs 白名单;

另外,还可以从ES官网获取相关的安全建议:https://www.elastic.co/products/x-pack/security

 Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

ELK相关漏洞类型,如下所示:

 

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

受感染的ES服务器的全球威胁感知景观图:

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

最后,Kromtech研究人员Bob Diachenko 在接受采访时表示,Kromtech已经通知了“受影响的公司”,并正在尝试联系亚马逊公司。截至目前,亚马逊公司尚未对此事做出回应。




原文发布时间为:2017年9月17日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
相关实践学习
使用阿里云Elasticsearch体验信息检索加速
通过创建登录阿里云Elasticsearch集群,使用DataWorks将MySQL数据同步至Elasticsearch,体验多条件检索效果,简单展示数据同步和信息检索加速的过程和操作。
ElasticSearch 入门精讲
ElasticSearch是一个开源的、基于Lucene的、分布式、高扩展、高实时的搜索与数据分析引擎。根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎,其次是Apache Solr(也是基于Lucene)。 ElasticSearch的实现原理主要分为以下几个步骤: 用户将数据提交到Elastic Search 数据库中 通过分词控制器去将对应的语句分词,将其权重和分词结果一并存入数据 当用户搜索数据时候,再根据权重将结果排名、打分 将返回结果呈现给用户 Elasticsearch可以用于搜索各种文档。它提供可扩展的搜索,具有接近实时的搜索,并支持多租户。
目录
相关文章
|
1月前
|
API
网络编程与select/poll/epoll服务器的实现(1)
什么是网络编程?     本部分主要是介绍socket网络编程的基本API——并展示一个服务器与客户端连接的具体流程是如何的实现一个一对一的网络服务器程序
28 0
|
1月前
|
网络协议 算法 定位技术
利用GPS北斗卫星系统开发NTP网络时间服务器
利用GPS北斗卫星系统开发NTP网络时间服务器
|
1月前
Socket网络编程练习题三:客户端上传文件到服务器
Socket网络编程练习题三:客户端上传文件到服务器
|
1月前
|
网络协议 Linux C++
Linux C/C++ 开发(学习笔记十二 ):TCP服务器(并发网络编程io多路复用epoll)
Linux C/C++ 开发(学习笔记十二 ):TCP服务器(并发网络编程io多路复用epoll)
32 0
|
1月前
|
网络协议
网络编程【TCP单向通信、TCP双向通信、一对多应用、一对多聊天服务器】(二)-全面详解(学习总结---从入门到深化)(下)
网络编程【TCP单向通信、TCP双向通信、一对多应用、一对多聊天服务器】(二)-全面详解(学习总结---从入门到深化)
24 2
|
1月前
|
网络协议 Linux C++
Linux C/C++ 开发(学习笔记十一 ):TCP服务器(并发网络网络编程 一请求一线程)
Linux C/C++ 开发(学习笔记十一 ):TCP服务器(并发网络网络编程 一请求一线程)
26 0
|
2月前
|
网络协议 Java API
基于UDP/TCP实现客户端服务器的网络通信程序
基于UDP/TCP实现客户端服务器的网络通信程序
|
2天前
|
弹性计算 大数据 测试技术
2024年阿里云服务器价格购买价格表(实例配置价格+磁盘价格+网络宽带价格)
2024年阿里云服务器价格购买价格表来了!2024年阿里云服务器租用费用,轻量应用服务器和云服务器ECS优惠价格表,云服务器ECS经济型e实例2核2G、3M固定带宽99元一年、ECS u1实例2核4G、5M固定带宽、80G ESSD Entry盘优惠价格199元一年,轻量应用服务器2核2G3M带宽轻量服务器一年61元、2核4G4M带宽轻量服务器一年165元12个月、2核4G服务器30元3个月,幻兽帕鲁4核16G和8核32G服务器配置,云服务器ECS可以选择经济型e实例、通用算力u1实例、ECS计算型c7、通用型g7、c8i、g8i等企业级实例规格。今天分享阿里云服务器租用费用最新报价:
13 2
|
9天前
|
弹性计算 安全 数据中心
阿里云香港服务器提供高性能、安全、CN2高速网络、BGP多线精品
阿里云香港服务器提供高性能、安全、CN2高速网络、BGP多线精品
|
9天前
|
弹性计算 测试技术 数据中心
阿里云香港服务器BGP多线精品网络_CN2性能测试_中国香港主机测试
阿里云香港服务器BGP多线精品网络_CN2性能测试_中国香港主机测试,阿里云香港服务器中国香港数据中心网络线路类型BGP多线精品,中国电信CN2高速网络高质量、大规格BGP带宽,运营商精品公网直连中国内地,时延更低,优化海外回中国内地流量的公网线路,可以提高国际业务访问质量

热门文章

最新文章