疑似来自中国的黑客正大肆攻击全球Elasticsearch
Cisco Talos的安全研究人员对外宣称,近期观测到针对ElasticSearch的攻击次数激增,而对于被攻破的ElasticSearch,攻击者主要是利用其来进行非法挖矿。而攻击手段主要是利用已公布的Elasticsearch漏洞。
至少有六个不同的攻击源头针对旧版本(1.4.2及更低版本)的Elasticsearch进行攻击,主要是利用CVE-2014-3120和CVE-2015-1427漏洞。
Talos在发布的分析中写道:“通过对蜜罐流量的长期分析,发现针对不安全的ElasticSearch集群的攻击在近期有所增加。这些攻击利用了CVE-2014-3120和CVE-2015-1427漏洞,主要针对旧版本的ElasticSearch。”
“根据攻击者的攻击模式,Talos认为有六个不同的攻击源头。”
其中最活跃的攻击者会利用CVE-2015-1427漏洞的两个攻击脚本进行攻击。这两个攻击脚本都会下载相同的bash脚本,第一个使用wget下载脚本,第二个利用被混淆的Java代码调用bash,再用wget下载相同的bash脚本。
被下载的bash脚本会禁用安全保护并杀死其他挖矿进程,然后,将其RSA密钥放在密钥文件中。该脚本同时也会利用crontab来实现持久性。同时,安全专家还发现,这个bash脚本还会下载了一个带UPX壳的ELF可执行文件,其中包含针对其他系统(如drupal和oracler weblogic)的漏洞攻击工具。例如,Drupal的CVE-2018-7600漏洞和Oracle Weblogic的CVE-2017-10271漏洞以及Spring Data Commons的CVE-2018-1273的漏洞。
而安全专家确定的第二个攻击者使用CVE-2014-3120来传递恶意代码。
另一组攻击者利用相同的漏洞进行攻击,攻击成功后会从HTTP文件服务器下载一个名为“Linuxt”的文件,这是针对x86、MIPS和ARM架构的Spike木马的变种。
同时,Talos还观察到,在某些情况下,那些尝试下载“Linuxt”文件的主机还会执行命令“echo qq952135763”。这一行为记录在过去几年的Elasticsearch错误日志中。QQ是一个很受欢迎的中国社交媒体网站,这可能是表明身份的一种方式。安全研究人员寻找了一下攻击者踪迹,发现其和一些探讨网络攻击技术的帖子有关。
Talos同时还把这个攻击者关联到其Gitee帐户,以及黑客论坛中用户名为Xiaoqi7的用户。
而且这个QQ帐户可能和利用CVE-2015-1427漏洞的攻击行为有关,这里也出现了执行“echo qq952135763“和”echo 952135763”的痕迹,但并不会下载“Linuxt”文件。
另外三个参与者也瞄准了ElasticSearch,但他们并没有试图上传任何恶意软件,只是运行几个系统命令。但考虑到这些集群所包含的数据集的大小和敏感性,这种性质攻击的也可能造成严重影响。
Talos建议所有ElasticSearch使用者尽可能把软件升级到最新版本。如果非必要,最好禁用通过搜索查询功能发送脚本。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://blog.talosintelligence.com/2019/02/cisco-talos-honeypot-analysis-reveals.html
最新评论