安全人员调查发现黑客比搜索引擎更快注意到暴露的ES服务器

作者:安数网络 发布时间:2020-06-16 15:10:04 浏览次数:75

一项研究发现,恶意分子在发现网络上公开且不受保护的Elasticsearch服务器的速度比搜索引擎更快,他们主要是在进行加密货币挖掘和凭证盗窃。

在实验过程中,带有伪造数据的蜜罐记录了150多个未经授权的请求,而第一个请求自暴露时间居然不到12个小时。

由Bob Diachenko领导的Comparitech研究团队从5月11日至5月22日,将Elasticsearch服务器暴露在互联网上。在此期间,该计算机平均每天受到18次攻击。

其中,Shodan和BinaryEdge等搜索引擎分别在5月16日和5月21日对系统进行了索引。但是,攻击者更快,并在部署后的8小时30分钟内开始对其进行探测。

在被搜索引擎编入索引之前,服务器遭受了36次以上的攻击,这表明至少有一些威胁行为者没有等待这些服务器出现在公共资源中,而是主动扫描互联网以发现它们。

但是,一旦被索引,两次攻击就需要一分钟来瞄准蜜罐。一天中最多的请求数为22次。

Comparitech承认,其中一些请求可能来自寻求新的开放式服务器的安全研究人员。但是,这些请求哪些是恶意的哪些是非恶意的不容易区分。

根据研究,大多数攻击来自美国(89个),罗马尼亚(38个)和中国(15个)。但是,此信息不可靠,因为攻击者可以使用代理服务隐藏其真实IP地址。

“攻击者不仅对窃取数据感兴趣。有些人甚至想劫持服务器以开采加密货币,窃取密码并破坏数据” ,Comparitech团队表示。

从观察到的攻击中,许多参与者正在通过利用一个旧漏洞(CVE-2015-1427)安装矿工来寻找加密货币。这些攻击使用了多个IP地址,但是它们都有相同的挖矿脚本下载源。

窃取服务器密码的情况也很普遍,原因与用于密码劫持的漏洞相同,并且还有另一个影响Elasticsearch的旧漏洞(CVE-2015-5531——目录遍历),以获取服务器的/ etc / passwd文件。

更多的外来攻击包括更改服务器配置以删除其中的内容,以及在销毁数据后索取赎金。后者发生在实验期间之外,攻击者索要0.06BTC,目前约为550美元。这是一种普遍的勒索行为,有些行为者会牟取暴利。

Comparitech团队表示,在实验期间观察到的大多数请求都对数据库进行了探查,试图建立连接和更改设置。

未受保护的Elasticsearch服务器已导致数百万用户的数十亿条记录泄漏。

通过这种方式收集的信息可以用于各种恶意目的,从网络钓鱼和帐户劫持到身份盗用。

为了防止对Elasticsearch服务器的未经授权的访问,管理员应确保启用身份验证并使用强凭证。另外,应该启用TLS,以确保在传输网络时对数据进行加密。


来源:bleepingcomputer

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用