安全资讯

逾4000台ElasticSearch服务器遭POS恶意软件感染

2018-06-06

1,328
0

网络安全公司Kromtech研究人员发现逾4,000台ElasticSearch服务器遭两款流行恶意软件AlinaPOS与JackPOS肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至2016年,但最近一次恶意传播发生在今年8月。另外,值得...

据外媒报道,网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99%的受感染服务器托管于亚马逊网络服务(AWS)中。

 

恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。

 


 

近期,Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)ElasticSearch 命令和控制(C&C)服务器存在 PoS 恶意软件。研究人员表示,攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 ElasticSearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。

 



 

Kromtech 研究员 Bob Diachenko 在博客中写道:“为什么是亚马逊 AWS ?因为亚马逊网络服务提供免费的 T2 micro(EC2)实例,且存储磁盘空间最高可达 10 GB。与此同时,T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制(C&C)功能,还可作为 POS 僵尸网络的其中一处节点,允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。

 

 



 

Kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 ElasticSearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。

 

首页  >  安全资讯  >  正文
  • 首页
  • 1
  • 2
  • 3
  • 4
  • 5
  • 末页

    安全资讯

    国际动态

    恶意软件

    漏洞事件

    黑客事件

    国内动态

    数据泄露

新闻分类
热门文章排行
安全产品
解决方案
关于我们
联系我们
安全服务

地址:北京市海淀区学清路38号
          金码大厦B座7层
邮编:100084
服务热线:400-696-8096
电 话:010-82838085
邮箱:
contact@unisguard.com

关注我们
Copyright © 2007-2017 unisguard.com All Rights Reserved 北京国舜科技股份有限公司版权所有 京ICP备09050222号 京公网安备110108000272号