首页 科技 > 正文

黑客在新的恶意软件活动中定位Elasticsearch集群

很多文章的报道都是由微观而宏观,今日小编讲给大家带来的关于黑客在新的恶意软件活动中定位Elasticsearch集群的资讯也不例外,希翼可以在一定的程度上开阔你们的视野!y有对黑客在新的恶意软件活动中定位Elasticsearch集群这篇文章感兴趣的小伙伴可以一起来看看

安全研究人员观察到针对Elasticsearch集群的多个威胁参与者的攻击数量激增,这被认为是企图在受害者机器上传播恶意软件。

根据 思科Talos研究人员发表的一篇博客文章,攻击者浮现了使用1.4.2及更低版本的目标群集,并利用旧漏洞将脚本传递给搜索查询并放弃攻击者的有效负载 。研究人员发现恶意软件和加密货币矿工都被留在了目标机器上。

研究人员解释说,由于Elasticsearch通常用于治理非常大的数据集,因此,由于存在大量数据,成功攻击群集的后果可能是毁灭性的。

黑客向来在使用CVE-2015-1427向来部署两个不同的有效载荷。第一个有效负载调用wget来下载bash脚本,而第二个有效负载使用混淆的Java来调用bash并使用wget下载相同的bash脚本。

研究人员还看到了第二个利用CVE-2014-3120的黑客,利用它来提供有效载荷,该有效载荷是比尔盖茨分布式拒绝服务恶意软件的衍生物。“这种恶意软件再次浮现是值得注意的,因为虽然Talos之前在我们的蜜罐中观察到了这种恶意软件,但大多数参与者已经从DDoS恶意软件转移到了非法矿工,”研究人员说。

据观察,第三名黑客使用针对CVE-2014-3120的攻击从HTTP文件服务器下载名为“LinuxT”的文件。试图下载“LinuxT”示例的主机也丢弃了执行命令“echo”qq952135763。'的有效负载。

“在弹性搜索错误日志中可以看到这种行为可以追溯到几年前,”研究人员说。

研究人员设置的蜜罐还检测到利用Elasticsearch的其他主机丢弃执行“echo”qq952135763“和”echo“952135763”的有效载荷,这表明这些攻击与同一个QQ帐户有关。

“然而,没有观察到与这些攻击相关的IP试图下载与此攻击者相关联的”LinuxT“有效负载。此外,与此攻击者相关的其他活动不同,这些攻击利用了较新的Elasticsearch漏洞,而不是较旧的漏洞,“研究人员表示。

研究人员表示,这些Elasticsearch漏洞仅存在于1.4.2及更低版本中,因此运行现代版Elasticsearch的任何群集都不受这些漏洞的影响。“鉴于这些集群所包含的数据集的大小和敏感性,违反这种性质的影响可能非常严峻,”研究人员警告说。

如果可能的话,敦促使用Elasticsearch的组织修补并升级到更新版本的Elasticsearch。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。