據外媒報道���,網絡安全公司 Kromtech 研究人員發現逾 4,000 臺 ElasticSearch 服務器遭兩款流行惡意軟件 AlinaPOS 與 JackPOS 肆意感染�,其中美國地區受影響情況最為嚴重���。然而���,相關調查顯示�,雖然受感染日期最早可追溯至 2016 年��,但最近一次惡意傳播發生在今年 8 月����。另外�����,值得注意的是�����,近 99%的受感染服務器托管于亞馬遜網絡服務(AWS)中����。
惡意軟件 AlinaPOS 與 JackPOS 自 2012 年以來一直存在且頗受網絡犯罪分子歡迎�����。此外����,研究人員發現這兩款惡意軟件早前就已在暗網出售并被廣泛傳播����。
近期����,Kromtech 安全研究人員通過搜索引擎發現超過 15,000 臺 ElasticSearch 服務器無需安全驗證即可登錄訪問���,其中逾 4000 臺(約 27%)ElasticSearch 命令和控制(C&C)服務器存在 PoS 惡意軟件��。研究人員表示����,攻擊者使用 ES 服務器的主要原因是因為它們的配置不僅允許讀取文件�,還可以在無需額外確認下輸入/安裝外部文件�。此外�����,部分 ElasticSearch 服務器訪問無需身份驗證�,因此允許攻擊者對暴露的實例進行完全管理控制�����,這也為攻擊者開辟了一系列可能性�����,即從隱藏資源與遠程代碼執行開始�����,完全破壞此前保存的所有數據���。
Kromtech 研究員 Bob Diachenko 在博客中寫道:“為什么是亞馬遜 AWS ����?因為亞馬遜網絡服務提供免費的 T2 micro(EC2)實例��,且存儲磁盤空間最高可達 10 GB�。與此同時����,T2 micro 只允許安裝在 ES 1.5.2 與 2.3.2 版本中使用 ”�����。目前�����,每臺受感染的 ES 服務器不僅具備 POS 惡意軟件客戶端的命令與控制(C&C)功能��,還可作為 POS 僵尸網絡的其中一處節點�,允許攻擊者從 POS 終端�、RAM 存儲器或受感染的 Windows 設備中收集�、加密與轉移用戶私人信息�。
Kromtech 已通知受影響公司并試圖與亞馬遜取得聯系�,不過亞馬遜尚未作出任何置評�����。然而����,對于使用 ElasticSearch 服務器的用戶來說�,研究人員建議他們正確配置服務器��、關閉所有未使用的端口�����、檢查日志文件��、網絡連接��,以及流量使用情況�。
