疑似来自中国的黑客正大肆攻击全球Elasticsearch

Cisco Talos的安全研究人员对外宣称，近期观测到针对ElasticSearch的攻击次数激增，而对于被攻破的ElasticSearch，攻击者主要是利用其来进行非法挖矿。而攻击手段主要是利用已公布的Elasticsearch漏洞。

至少有六个不同的攻击源头针对旧版本（1.4.2及更低版本）的Elasticsearch进行攻击，主要是利用CVE-2014-3120和CVE-2015-1427漏洞。

Talos在发布的分析中写道：“通过对蜜罐流量的长期分析，发现针对不安全的ElasticSearch集群的攻击在近期有所增加。这些攻击利用了CVE-2014-3120和CVE-2015-1427漏洞，主要针对旧版本的ElasticSearch。”

“根据攻击者的攻击模式，Talos认为有六个不同的攻击源头。”

其中最活跃的攻击者会利用CVE-2015-1427漏洞的两个攻击脚本进行攻击。这两个攻击脚本都会下载相同的bash脚本，第一个使用wget下载脚本，第二个利用被混淆的Java代码调用bash，再用wget下载相同的bash脚本。

被下载的bash脚本会禁用安全保护并杀死其他挖矿进程，然后，将其RSA密钥放在密钥文件中。该脚本同时也会利用crontab来实现持久性。同时，安全专家还发现，这个bash脚本还会下载了一个带UPX壳的ELF可执行文件，其中包含针对其他系统（如drupal和oracler weblogic）的漏洞攻击工具。例如，Drupal的CVE-2018-7600漏洞和Oracle Weblogic的CVE-2017-10271漏洞以及Spring Data Commons的CVE-2018-1273的漏洞。

而安全专家确定的第二个攻击者使用CVE-2014-3120来传递恶意代码。

另一组攻击者利用相同的漏洞进行攻击，攻击成功后会从HTTP文件服务器下载一个名为“Linuxt”的文件，这是针对x86、MIPS和ARM架构的Spike木马的变种。

同时，Talos还观察到，在某些情况下，那些尝试下载“Linuxt”文件的主机还会执行命令“echo qq952135763”。这一行为记录在过去几年的Elasticsearch错误日志中。QQ是一个很受欢迎的中国社交媒体网站，这可能是表明身份的一种方式。安全研究人员寻找了一下攻击者踪迹，发现其和一些探讨网络攻击技术的帖子有关。

Talos同时还把这个攻击者关联到其Gitee帐户，以及黑客论坛中用户名为Xiaoqi7的用户。

而且这个QQ帐户可能和利用CVE-2015-1427漏洞的攻击行为有关，这里也出现了执行“echo qq952135763“和”echo 952135763”的痕迹，但并不会下载“Linuxt”文件。

另外三个参与者也瞄准了ElasticSearch，但他们并没有试图上传任何恶意软件，只是运行几个系统命令。但考虑到这些集群所包含的数据集的大小和敏感性，这种性质攻击的也可能造成严重影响。

Talos建议所有ElasticSearch使用者尽可能把软件升级到最新版本。如果非必要，最好禁用通过搜索查询功能发送脚本。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://blog.talosintelligence.com/2019/02/cisco-talos-honeypot-analysis-reveals.html