Elasticsearche僵尸网络：超过4000台服务器遭到两款POS 恶意软件感染

ES服务器中发现POS恶意软件

Kromtech 安全中心最近对一些可以公开访问的ElasticSearch节点进行研究后发现，在ElasticSearch文件结构中存在一些与其没有任何关系的可疑索引名称。

原来，在这些ElasticSearch服务器中有部分存放了AlinaPOS和JackPOS恶意软件的C&C基础架构文件。这两种都是使用一系列不同技术来擦拭信用卡详细信息的POS终端恶意软件。

其中，Jack POS会试图欺骗系统它是java或java实用程序。它可以将其自身直接复制到％APPDATA％目录或％APPDATA％内的基于java的子目录中。据悉，JackPOS会使用MAC地址作为僵尸ID，甚至可以对被盗的信用卡数据进行编码，以便在被提取时不被发现。而Alina 是一个知名的POSRAM擦除器，第一次被发现是在2012年10月份，并于2014年衍生出JackPOS变种。目前，这两大热门恶意软件仍在地下黑客论坛兜售扩散。

2014年，POS恶意软件家族图谱图如下所示：

如今，该图谱已经变得更加糟糕，范围也更加广泛。

尽管目前有一些安全警告和行业相关新闻称，POS恶意软件已经不再频繁出现在头条新闻中，但是数百万持卡人仍然处在危险之中。Kromtech研究人员已经开始寻找有关该特定类型的恶意软件的更新版本。令研究人员吃惊的是，目前，已经有更新版本的恶意软件正在网上公开出售：

在网络犯罪追踪站点上https://cybercrime-tracker.net/index.php?search=alina，我们发现了Alina恶意软件的新样本类型，使用VirusTotal对样品进行检测后发现，主流的杀毒引擎对这类恶意软件的检测率较低，如下图所示： 

即使对于相对较老的命令和控制（C＆C）服务器托管站点而言，也没有足够的信息来标记真实存在的威胁。VirusTotal URL扫描仪的检测结果显示：在65个可用的防病毒引擎和网络扫描仪中，只有6个能够识别新版本的POS恶意软件，如下图所示：

为什么出现这种情况？

由于缺乏有效的身份认证，攻击者可以在Elasticsearch服务器上安装恶意软件。一旦恶意软件发挥作用，犯罪分子就可以完全掌握整个系统的管理权限，远程访问服务器中的资源，甚至启动代码执行来窃取或完全销毁服务器中保存的所有数据。

在这个案例中，有大量部署在AWS上的 ElasticSearch实例遭到了攻击者的恶意利用。此外，每个受感染的ES服务器也是一个更大的POS僵尸网络的一部分，POS恶意软件客户端能够收集、加密和转储从POS终端、RAM内存或受感染的Windows设备中窃取的信用卡信息。

POS恶意软件使用的旧C & C接口如下图所示：

我们使用Shodan（基于物联网的搜索引擎）检查了互联网上有多少ES系统具有相似的感染迹象。结果发现，截至9月12日，共有近4000台受感染的ElasticSearch服务器，其中大约99%是托管在AWS上。

那么，为什么几乎所有的ES服务器都是托管在AWS上呢？Kromtech首席通信官Bob Diachenko解释称，这是因为亚马逊AWS服务为客户提供免费的T2 micro（EC2）实例，其磁盘空间高达10GB，与此同时，只有ElasticSearch 1.5.2和2.3.2版本允许设置t2 micro。据悉，在被感染的4000多台服务器中，52%运行ElasticSearch 1.5.2，47%运行ElasticSearch 2.3.2。

亚马逊托管平台为用户提供了“只需单击几次鼠标就可以配置一个ES集群”的可能性，但通常人们在快速安装过程中会跳过所有的安全配置。就是这样一个简单的失误可能会造成非常严重的影响，在这个案例中，它就会暴露大量的敏感数据。

此外，Kromtech安全研究人员还从shodan.io上搜索到的ES服务的结果中，发现了类似的文件结构。然后，我们比较了这些受感染的ES服务器上可疑文件的修改时间，并得出了以下一些结论：

有不同的C&C恶意软件包，也就是说服务器被多次感染了；
不同的软件包可能与不同的僵尸网络有关（因为POS恶意软件不仅在暗网上出售，还在公共网络上出售）；
有很多服务器被感染，由于定期扫描和僵尸网络扩展等因素，不同服务器上的相同恶意软件包的感染时间可能不同；
近99%的受感染的服务器托管在AWS上；
在受感染的服务器中，约有52%运行ES 1.5.2版本，47% 运行ES 2.3.2版本，剩下的1%运行其他版本；
最近的感染发生在2017年8月底；[object Object]

下表中显示了Kromtech安全中心发现的通过ES服务器和亚马逊安全配置中的漏洞被感染的AWS实例的分布情况：

缓解措施

Kromtech安全中心强烈建议您采取以下有效事件响应所需的操作，最大限度的降低此类威胁：

检查基础设施中所有服务器上的日志文件；
检查连接和流量；
对所有正在运行的系统进行快照和备份；
提取恶意软件样本并提交给我们进行进一步分析；
重新安装所有受影响的系统，否则，您需要清理所有可疑进程、使用防病毒软件对系统进行全面检测，并持续监测您的系统在未来3个月内的任何异常连接；
安装最新的Elastic补丁或完全地重新安装最新版本；
关闭所有可从外部访问的未使用的端口，或列出可信的IPs 白名单；

另外，还可以从ES官网获取相关的安全建议：https://www.elastic.co/products/x-pack/security

ELK相关漏洞类型，如下所示：

受感染的ES服务器的全球威胁感知景观图：

最后，Kromtech研究人员Bob Diachenko 在接受采访时表示，Kromtech已经通知了“受影响的公司”，并正在尝试联系亚马逊公司。截至目前，亚马逊公司尚未对此事做出回应。