Kromtech 安全中心对1.5万多台ElasticSearch服务器的实例进行了研究分析,确定其中4000多台存放了两种POS机恶意软件,AlinaPOS恶意软件和 JackPOS恶意软件的文件,并主要用于C&C服务器及其相关文件。
ElasticSearch服务器被用作PoS机恶意软件的C&C服务器
研究人员在上周的例行扫描中发现了这些暴露的 ElasticSearch 服务器。Kromtech 团队最初的发现引起了他们的兴趣,
他们用Shodan扫描了1.5万多个ElasticSearch 的实例, 这些实例仍旧暴露在互联网上并且没有任何形式的安全认证。
Kromtech 说, ,在这1.5万台服务器中, 有超过4000台存放了 AlinaPOS 和
JackPOS恶意软件的C&C基础架构文件。这大约占所有暴露的 ElasticSearch 实例的27%。这个数字太大,
不可能只是一个巧合, 特别是还发现服务器中存放了 POS机恶意软件的控制面板。
Kromtech 研究人员似乎无意中发现了在 POS 恶意软件网络犯罪链条中一个保存完好的秘密,使用 ElasticSearch 服务器来隐藏 C&C服务器。
(小编,难道这些ElasticSearch 服务器没有人去审核它的安全性?可以参考此处提供的ElasticSearch 安全指南)
99% 受感染服务器托管在亚马逊 AWS
Kromtech 团队的分析还显示, 在被POS 恶意软件感染的 ElasticSearch 服务器中,有99%是托管在亚马逊的 AWS 服务上。 Kromtech 的首席通信官Bob Diachenko解释说
"为什么是亚马逊?因为在亚马逊的 Web 服务, 你可以得到一个免费的 t2 (EC2) 微实例, 而且最多能有 10 Gb 的磁盘空间,
"同时, t2 微实例允许建立的版本只有 ES 1.5.2 和2.3.2。
分析结果显示, 4000台感染服务器中,52% 运行 ElasticSearch 1.5.2, 47% 运行 ElasticSearch
2.3.2。文件时间戳显示感染可追溯到2016年8月。此外, 研究人员发现了相同 POS 恶意软件的不同软件包,这证据表明,
服务器曾被感染了多次。
向一些受影响的公司发出通知
Diachenko 在一次私人谈话中告诉媒体,"我们已经向一些受影响的公司发出通知, 并试图与亚马逊取得联系,
但仍然没有回应," 大多数受感染的服务器都是美国的 IP 地址。此外, Kromtech 还在分析已编译的数据, 对受感染服务器的数量进行细化,
因为4000台可能不代表 POS 恶意软件都在利用。
至于两个恶意软件家族, AlinaPOS 和 JackPOS, 都是众所周知的PoS恶意软件。AlinaPOS 出现于2012后期, 并在2014年产生了 JackPOS 变种。两者都非常受欢迎, 并在地下黑客论坛出售并大量分发。
大多数ElasticSearch 服务器之所以受感染,是因为配置不当,可以参考此处提供的ElasticSearch安全指南。Kromtech 发现的细目, 连同图表和图表可以在这里得到。
https://mackeepersecurity.com/post/kromtech-discovers-massive-elasticsearch-infected-malware-botnet
本文转载:http://toutiao.secjia.com/elasticsearch-pos-malware
相关阅读:
高端私有云项目交流群,欢迎加入!
信用机构Equifax数据库被黑,近半美国人个人信息泄露,面临百亿美元诉讼
