Kromtech安全中心發(fā)現(xiàn)ElasticSearch服務(wù)器上4000多個(gè)實(shí)例遭遇兩款PoS惡意軟件感染:AlinaPOS和JackPOS。
研究人員上周常規(guī)掃描時(shí)發(fā)現(xiàn)這些暴露的ElasticSearch服務(wù)器。初次發(fā)現(xiàn)后,Kromtech團(tuán)隊(duì)使用Shodan搜索引擎發(fā)現(xiàn)超過(guò)1.5萬(wàn)臺(tái)ElasticSearch服務(wù)器暴露在網(wǎng)上,而未部署任何形式的安全驗(yàn)證。
2012年P(guān)oS惡意軟件圖
2014年P(guān)oS惡意軟件圖
Kromtech表示,其中至少4000臺(tái)(約27%)服務(wù)器上有AlinaPOS和JackPOS控制與命令服務(wù)器的特定文件。由于這些服務(wù)器又主要包含PoS惡意軟件控制面板,Kromtech研究人員進(jìn)一步發(fā)現(xiàn),網(wǎng)絡(luò)犯罪組織可能是利用ElasticSearch服務(wù)器隱藏控制與命令服務(wù)器。
99%被感染的服務(wù)器托管在亞馬遜云服務(wù)AWS上Kromtech分析后發(fā)現(xiàn),被這些PoS惡意軟件感染的ElasticSearch服務(wù)器中,其中99%托管在亞馬遜AWS服務(wù)上。
Kromtech首席通信官鮑勃迪亞秦科(Bob Diachenko)解釋稱,這是因?yàn)閬嗰R遜AWS服務(wù)提供免費(fèi)的t2 micro(EC2)實(shí)例,磁盤空間高達(dá)10GB,與此同時(shí),只有ElasticSearch 1.5.2和2.3.2版本允許設(shè)置t2 micro。
被感染的4000多臺(tái)服務(wù)器中,52%運(yùn)行ElasticSearch 1.5.2,47%運(yùn)行ElasticSearch 2.3.2。
文件時(shí)間戳顯示,感染自2016年開(kāi)始,最近的感染發(fā)生于2017年8月。除此之外,研究人員還發(fā)現(xiàn)相同的PoS惡意軟件具有不同的數(shù)據(jù)包,相關(guān)證據(jù)證明服務(wù)器曾被感染多次。
受影響的部分公司已收到通知Kromtech已經(jīng)通知了部分受影響的企業(yè)。亞馬遜已經(jīng)接到了通知,但仍未作任何回應(yīng)。
Diachenko指出,美國(guó)IP地址上的服務(wù)器遭遇的感染最嚴(yán)重。Kromtech仍在分析數(shù)據(jù)進(jìn)一步確定被感染服務(wù)器的數(shù)量。
AlinaPOS和JackPOS是臭名昭著的威脅,前者于2012年底浮出水面,并于2014年衍生出JackPOS變種。這兩大熱門惡意軟件在地下黑客論壇兜售,目前仍在積極擴(kuò)散。