Elasticsearch 数据库被植后门 变成 DDoS 僵尸网络

弹性搜索 (ElasticSearch) 是目前流行的基于 Java 开源技术的分布式搜索引擎,被云服务提供商广泛使用,如亚马逊弹性云计算 (EC)、微软 Azure、谷歌云引擎等均采用此种技术。

3.jpg

2014 年 5 月,Elasticsearch1.1.x 版本被爆存在远程任意代码执行漏洞 (CVE-2014-3120),当攻击者利用漏洞提交特制的 HTTP 请求时,就可获得 root 权限,执行任意代码。

2014年7月,卡巴斯基研究人员 Kurt Baumgartner 发现,亚马逊云 (EC2) 由于广泛使用未修复漏洞的搜索引擎 Elasticsearch,导致被植入后门,并被安装了能发起包括臭名昭著的 DNS 反射放大攻击在内的多种 DDoS 攻击的僵尸工具。卡巴斯基已经跟踪到多起 DDoS 攻击事件,包括针对美国的大型地区性银行、大型电子制造商和日本的服务提供商的 DDoS 攻击均是来自亚马逊云 (EC2)。

2015 年,Elasticsearch 1.3.0-1.3.7 和 1.4.0-1.4.2 的Groovy 脚本引擎被曝存在远程代码执行漏洞 (CVE-2015-1427)。该漏洞允许攻击者构造 Groovy 脚本绕过沙箱检查执行 shell 命令。

2017 年,Elasticsearch 遭遇勒索软件攻击,攻击者删除了 Elasticsearch 所有索引信息,并创建一个名为 warning 的索引,勒索者写入需要支付 0.2 比特币才给受害者发送数据。结果导致至少 500 亿条(至少 450TB)数据被删除。

2019 年 2 月,著名安全研究员 Bob Diachenko 在网上发现了一个包含个人敏感信息记录的公共 Elasticsearch 集群,这些信息由道琼斯公司编写。该集群包含的数据对任何物联网搜索引擎开放,公众可以随意阅读。泄露的数据库大小为 4.4GB,共包含 2418862 份记录,包括世界各国政府官员、政治家和有政治影响力的人的个人敏感信息。

近日,趋势科技报告称,最新监测到的攻击活动正试图将 Elasticsearch 集群纳入僵尸网络以发动分布式拒绝服务 (DDoS) 攻击。

这种多阶段攻击利用脚本最终将后门传递到目标服务器,并将其转化为 DDoS 僵尸网络。

作为攻击的一部分,威胁行为者会搜索公开或可公开访问的Elasticsearch数据库/服务器。使用攻击者制作的搜索查询通过已编码的 JAVA 命令调用 shell,然后就可以实现第一个恶意脚本的下载过程。

第一阶段脚本会尝试关闭防火墙,以及其他已在目标服务器上运行的任何竞争性加密货币挖掘程序。接下来,可以从受感染的网站中检索第二阶段脚本。

趋势科技研究人员认为,这些攻击背后的威胁行为者是在检测到 URL 时,使用一次性域名 (expendable domain) 快速替换了 URL。通过滥用受到破坏的网站,攻击者可以轻松地逃避检测。

研究人员还发现,在攻击活动中观察到的 URL 旨在利用 CVE-2015-1427——这是Elasticsearch 1.3.0 – 1.3.7和1.4.0 – 1.4.2 版本的 Groovy 脚本引擎中存在的一个旧漏洞。

第二阶段脚本具有与第一阶段类似的功能,因为它也试图阻止防火墙。此外,它还会删除某些可能与竞争性恶意软件相关的文件,以及 / tmp目 录中的各种配置文件。

接下来,除了杀死在某些 TCP 端口上运行的进程之外,它还会从系统中杀死其他加密货币挖掘活动和不需要的进程,并尝试删除初始感染的痕迹。此外,该脚本还会下载真实的恶意软件二进制文件。

最后的有效载荷是一个后门,能够窃取系统信息并发动 DDoS 攻击。之前发现的 CVE-2017-5638 漏洞就利用了这种威胁,CVE-2017-5638 是 Apache Struts2 的 Jakarta Multipart parser 插件中存在的一个远程代码执行漏洞。攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。

研究人员表示,其观察到的样本类似于 BillGates 恶意软件,该恶意软件于 2014 年首次被发现,并以劫持系统和发动 DDoS 攻击而闻名。根据《2015年第三季度云盾互联网DDoS状态和趋势报告》显示,BillGates 攻击程序作为国内最流行的分布式拒绝服务攻击 (DDoS) 软件之一,被攻击者广泛使用,在 DDoS 攻击程序中占比高达 32.33%。

趋势科技指出:最近,我们在僵尸网络相关活动中发现了 BillGates 恶意软件的变种。

今年早些时候,思科的 Talos 安全情报和研究小组就曾警告,最近攻击激增,主要集中在不安全的 Elasticsearch 搜索集群。据信,至少有 6 个独立的威胁集团参与其中,利用旧漏洞攻击未打补丁的服务器,其中一个团队还试图用 BillGates 恶意软件变种感染服务器。

趋势科技表示,针对 Elasticsearch 服务器的攻击相对简单且是利益驱动的。不法分子寻求不安全或配置错误的服务器,或是利用旧漏洞来停止通常由加密货币挖掘恶意软件甚至勒索软件所组成的有效载荷。

因此,采取预防措施来逃避检测并使用多阶段执行技术的攻击是一个危险信号。这次攻击背后的网络犯罪分子或威胁行为者使用了 URL 编码,分阶段检索脚本以及受损的合法网站,这可能意味着他们只是在发动实际攻击之前测试自己的黑客工具或准备他们的基础设施。


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注