逾4000台ElasticSearch服务器遭POS恶意软件感染

据外媒报道，网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染，其中美国地区受影响情况最为严重。然而，相关调查显示，虽然受感染日期最早可追溯至 2016 年，但最近一次恶意传播发生在今年 8 月。另外，值得注意的是，近 99%的受感染服务器托管于亚马逊网络服务（AWS）中。

恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外，研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。

近期，Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问，其中逾 4000 台（约 27%）ElasticSearch 命令和控制（C＆C）服务器存在 PoS 恶意软件。研究人员表示，攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件，还可以在无需额外确认下输入/安装外部文件。此外，部分 ElasticSearch 服务器访问无需身份验证，因此允许攻击者对暴露的实例进行完全管理控制，这也为攻击者开辟了一系列可能性，即从隐藏资源与远程代码执行开始，完全破坏此前保存的所有数据。

Kromtech 研究员 Bob Diachenko 在博客中写道：“为什么是亚马逊 AWS ？因为亚马逊网络服务提供免费的 T2 micro（EC2）实例，且存储磁盘空间最高可达 10 GB。与此同时，T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前，每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制（C&C）功能，还可作为 POS 僵尸网络的其中一处节点，允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。

Kromtech 已通知受影响公司并试图与亚马逊取得联系，不过亚马逊尚未作出任何置评。然而，对于使用 ElasticSearch 服务器的用户来说，研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接，以及流量使用情况。