4000余台ElasticSearch服务器遭PoS恶意软件感染

Posted 2021-04-21 云技术实践

Kromtech 安全中心对1.5万多台ElasticSearch服务器的实例进行了研究分析，确定其中4000多台存放了两种POS机恶意软件，AlinaPOS恶意软件和 JackPOS恶意软件的文件，并主要用于C&C服务器及其相关文件。

ElasticSearch服务器被用作PoS机恶意软件的C&C服务器

研究人员在上周的例行扫描中发现了这些暴露的 ElasticSearch 服务器。Kromtech 团队最初的发现引起了他们的兴趣, 他们用Shodan扫描了1.5万多个ElasticSearch 的实例, 这些实例仍旧暴露在互联网上并且没有任何形式的安全认证。

Kromtech 说, ，在这1.5万台服务器中, 有超过4000台存放了 AlinaPOS 和 JackPOS恶意软件的C&C基础架构文件。这大约占所有暴露的 ElasticSearch 实例的27%。这个数字太大, 不可能只是一个巧合, 特别是还发现服务器中存放了 POS机恶意软件的控制面板。

Kromtech 研究人员似乎无意中发现了在 POS 恶意软件网络犯罪链条中一个保存完好的秘密，使用 ElasticSearch 服务器来隐藏 C&C服务器。

（小编，难道这些ElasticSearch 服务器没有人去审核它的安全性？可以参考此处提供的ElasticSearch 安全指南）

99% 受感染服务器托管在亚马逊 AWS

Kromtech 团队的分析还显示, 在被POS 恶意软件感染的 ElasticSearch 服务器中，有99%是托管在亚马逊的 AWS 服务上。 Kromtech 的首席通信官Bob Diachenko解释说

"为什么是亚马逊？因为在亚马逊的 Web 服务, 你可以得到一个免费的 t2 (EC2) 微实例, 而且最多能有 10 Gb 的磁盘空间,

"同时, t2 微实例允许建立的版本只有 ES 1.5.2 和2.3.2。

分析结果显示, 4000台感染服务器中，52% 运行 ElasticSearch 1.5.2, 47% 运行 ElasticSearch 2.3.2。文件时间戳显示感染可追溯到2016年8月。此外, 研究人员发现了相同 POS 恶意软件的不同软件包，这证据表明, 服务器曾被感染了多次。

向一些受影响的公司发出通知

至于两个恶意软件家族, AlinaPOS 和 JackPOS, 都是众所周知的PoS恶意软件。AlinaPOS 出现于2012后期, 并在2014年产生了 JackPOS 变种。两者都非常受欢迎, 并在地下黑客论坛出售并大量分发。

大多数ElasticSearch 服务器之所以受感染，是因为配置不当，可以参考此处提供的ElasticSearch安全指南。Kromtech 发现的细目, 连同图表和图表可以在这里得到。

https://mackeepersecurity.com/post/kromtech-discovers-massive-elasticsearch-infected-malware-botnet

本文转载：http://toutiao.secjia.com/elasticsearch-pos-malware

相关阅读：