热点4000余台ElasticSearch服务器遭PoS恶意软件感染
Posted 神行实训
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了热点4000余台ElasticSearch服务器遭PoS恶意软件感染相关的知识,希望对你有一定的参考价值。
Kromtech 安全中心对1.5万多台ElasticSearch服务器的实例进行了研究分析,确定其中4000多台存放了两种POS机恶意软件,AlinaPOS恶意软件和 JackPOS恶意软件的文件,并主要用于C&C服务器及其相关文件。
ElasticSearch服务器被用作PoS机恶意软件的C&C服务器
研究人员在上周的例行扫描中发现了这些暴露的 ElasticSearch 服务器。Kromtech 团队最初的发现引起了他们的兴趣, 他们用Shodan扫描了1.5万多个ElasticSearch 的实例, 这些实例仍旧暴露在互联网上并且没有任何形式的安全认证。
Kromtech 说, ,在这1.5万台服务器中, 有超过4000台存放了 AlinaPOS 和 JackPOS恶意软件的C&C基础架构文件。这大约占所有暴露的 ElasticSearch 实例的27%。这个数字太大, 不可能只是一个巧合, 特别是还发现服务器中存放了 POS机恶意软件的控制面板。
Kromtech 研究人员似乎无意中发现了在 POS 恶意软件网络犯罪链条中一个保存完好的秘密,使用 ElasticSearch 服务器来隐藏 C&C服务器。
(小编,难道这些ElasticSearch 服务器没有人去审核它的安全性?可以参考此处提供的ElasticSearch 安全指南)
99% 受感染服务器托管在亚马逊 AWS
Kromtech 团队的分析还显示, 在被POS 恶意软件感染的 ElasticSearch 服务器中,有99%是托管在亚马逊的 AWS 服务上。 Kromtech 的首席通信官Bob Diachenko解释说
"为什么是亚马逊?因为在亚马逊的 Web 服务, 你可以得到一个免费的 t2 (EC2) 微实例, 而且最多能有 10 Gb 的磁盘空间,
"同时, t2 微实例允许建立的版本只有 ES 1.5.2 和2.3.2。
分析结果显示, 4000台感染服务器中,52% 运行 ElasticSearch 1.5.2, 47% 运行 ElasticSearch 2.3.2。文件时间戳显示感染可追溯到2016年8月。此外, 研究人员发现了相同 POS 恶意软件的不同软件包,这证据表明, 服务器曾被感染了多次。
向一些受影响的公司发出通知
至于两个恶意软件家族, AlinaPOS 和 JackPOS, 都是众所周知的PoS恶意软件。AlinaPOS 出现于2012后期, 并在2014年产生了 JackPOS 变种。两者都非常受欢迎, 并在地下黑客论坛出售并大量分发。
大多数ElasticSearch 服务器之所以受感染,是因为配置不当,可以参考此处提供的ElasticSearch安全指南。Kromtech 发现的细目, 连同图表和图表可以在这里得到。
https://mackeepersecurity.com/post/kromtech-discovers-massive-elasticsearch-infected-malware-botnet
本文转载:http://toutiao.secjia.com/elasticsearch-pos-malware
下载神行工程师APP 注册成为神行工程师
北京神州光大科技有限公司
官方网站:www.cebserv.com
(人工服务时间:周一至周五,早九点到晚六点)
以上是关于热点4000余台ElasticSearch服务器遭PoS恶意软件感染的主要内容,如果未能解决你的问题,请参考以下文章
中国首个商用量子通信专网投入使用 4000台ElasticSearch服务器遭PoS恶意软件感染
1.5万台未加保护的Elasticsearch服务器有27%遭PoS恶意软件感染
科技热点周刊|微软再遭反垄断指控 ;亚马逊云服务推出新定制芯片;JetBrains 推出 Fleet;
超过4000台Elasticsearch服务器被POS恶意软件感染
勒索软件凶猛:先对MongoDB大扫荡,现在盯上了Elasticsearch
美团被起诉侵入收银系统,遭索赔1亿元!Redis变更开源许可,多个项目不再开源;ElasticSearch 6.4.0发布