安全資訊

逾4000臺ElasticSearch服務器遭POS惡意軟件感染

2018-06-06

6,177
0

網絡安全公司Kromtech研究人員發現逾4,000臺ElasticSearch服務器遭兩款流行惡意軟件AlinaPOS與JackPOS肆意感染,其中美國地區受影響情況最為嚴重。然而,相關調查顯示,雖然受感染日期最早可追溯至2016年,但最近一次惡意傳播發生在今年8月。另外,值得...

據外媒報道,網絡安全公司 Kromtech 研究人員發現逾 4,000 臺 ElasticSearch 服務器遭兩款流行惡意軟件 AlinaPOS 與 JackPOS 肆意感染,其中美國地區受影響情況最為嚴重。然而,相關調查顯示,雖然受感染日期最早可追溯至 2016 年,但最近一次惡意傳播發生在今年 8 月。另外,值得注意的是,近 99%的受感染服務器托管于亞馬遜網絡服務(AWS)中。

 

惡意軟件 AlinaPOS 與 JackPOS 自 2012 年以來一直存在且頗受網絡犯罪分子歡迎。此外,研究人員發現這兩款惡意軟件早前就已在暗網出售并被廣泛傳播。

 


 

近期,Kromtech 安全研究人員通過搜索引擎發現超過 15,000 臺 ElasticSearch 服務器無需安全驗證即可登錄訪問,其中逾 4000 臺(約 27%)ElasticSearch 命令和控制(C&C)服務器存在 PoS 惡意軟件。研究人員表示,攻擊者使用 ES 服務器的主要原因是因為它們的配置不僅允許讀取文件,還可以在無需額外確認下輸入/安裝外部文件。此外,部分 ElasticSearch 服務器訪問無需身份驗證,因此允許攻擊者對暴露的實例進行完全管理控制,這也為攻擊者開辟了一系列可能性,即從隱藏資源與遠程代碼執行開始,完全破壞此前保存的所有數據。

 



 

Kromtech 研究員 Bob Diachenko 在博客中寫道:“為什么是亞馬遜 AWS ?因為亞馬遜網絡服務提供免費的 T2 micro(EC2)實例,且存儲磁盤空間最高可達 10 GB。與此同時,T2 micro 只允許安裝在 ES 1.5.2 與 2.3.2 版本中使用 ”。目前,每臺受感染的 ES 服務器不僅具備 POS 惡意軟件客戶端的命令與控制(C&C)功能,還可作為 POS 僵尸網絡的其中一處節點,允許攻擊者從 POS 終端、RAM 存儲器或受感染的 Windows 設備中收集、加密與轉移用戶私人信息。

 

 



 

Kromtech 已通知受影響公司并試圖與亞馬遜取得聯系,不過亞馬遜尚未作出任何置評。然而,對于使用 ElasticSearch 服務器的用戶來說,研究人員建議他們正確配置服務器、關閉所有未使用的端口、檢查日志文件、網絡連接,以及流量使用情況。

 

首頁  >  安全資訊  >  正文
  • 首頁
  • 1
  • 2
  • 3
  • 4
  • 5
  • 末頁

    安全資訊

    國際動態

    惡意軟件

    漏洞事件

    黑客事件

    國內動態

    數據泄露

新聞分類
熱門文章排行
安全產品
解決方案
關于我們
聯系我們
安全服務

地址:北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
郵編:100044
服務熱線:400-696-8096
電 話:010-82838085
郵箱:
contact@unisguard.com

關注我們
Copyright © 2007-2017 unisguard.com All Rights Reserved 北京國舜科技股份有限公司版權所有 京ICP備09050222號 京公網安備110108000272號
狠狠色草草综合_伊人久久大香线蕉综合_伦埋琪琪电影院