Kate Li (Taiwan)的部落格

首頁

綜合威脅情報:思科talos蜜罐分析顯示,對elasticsearch集羣的攻擊有所上升

作者 iacona 時間 2020-03-10
all

思科塔洛斯的克裏斯托弗埃文斯為這篇文章進行了研究。

執行摘要

思科Talos警告用戶,他們需要密切關注不安全的Elasticsearch集羣。我們最近觀察到針對這些集羣的多個威脅參與者的攻擊激增。這些攻擊者的目標是使用1.4.2及更低版本的羣集,並利用舊漏洞傳遞腳本來蒐索査詢和丟棄攻擊者的有效負載。這些腳本正被用來將惡意軟件和加密貨幣礦工放在受害者機器上。塔洛斯還能够識別與這些威脅因素之一相關的社交媒體帳戶。由於Elasticsearch通常用於管理非常大的數据集,囙此,由於存在大量數據,成功攻擊集羣的後果可能是毀滅性的。這篇文章詳細介紹了每個威脅參與者使用的攻擊方法,以及相關的有效載荷。

介紹

通過對蜜罐流量的持續分析,Talos發現針對不安全的Elasticsearch集羣的攻擊有所增加。這些攻擊利用CVE-2014-3120和CVE-2015-1427,這兩種攻擊都只存在於舊版本的Elasticsearch中,並利用傳遞腳本來蒐索査詢的能力。基於有效載荷和利用鏈的模式,塔洛斯適度自信地評估六個不同的參與者正在利用我們的蜜罐。

例如CVE-2015-1427:

這些參與者中最活躍的一個始終使用CVE-2015-1427部署兩個不同的有效載荷。第一個有效負載調用wget下載bash腳本,而第二個有效負載使用模糊Java調用bash並下載與wget相同的bash腳本。這可能是一種嘗試,以使利用在更廣泛的平臺上工作。攻擊者使用的bash腳本遵循一種常見的模式,即禁用安全保護並殺死各種其他惡意行程(主要是其他挖掘惡意軟件),然後將其RSA金鑰放入authorized_keys檔案。此外,這個bash腳本還可以下載非法礦工及其設定檔。該腳本通過將shell腳本安裝為cron工作來實現持久性。

這個bash腳本還下載了一個UPX打包的ELF可執行文件。對解包示例的分析表明,此可執行文件包含各種其他系統的漏洞利用。這些額外攻擊包括幾個漏洞,所有這些漏洞都可能導致遠程程式碼執行,例如Drupal中的CVE-2018-7600、Oracle WebLogic中的CVE-2017-10271和Spring Data Commons中的CVE-2018-1273。攻擊通常通過HTTPS發送到目標系統。這些攻擊都證明了攻擊者的目標似乎是在目標機器上獲得遠程程式碼執行。有效載荷樣本的詳細分析正在進行中,Talos將在必要時提供相關的更新。

塔洛斯觀察到,第二個參與者利用CVE-2014-3120,利用它提供的有效載荷是比爾蓋茨分佈式拒絕服務惡意軟件的衍生物。這種惡意軟件的再次出現是值得注意的,因為雖然Talos之前在我們的蜜罐中觀察到了這種惡意軟件,但大多數參與者已經從DDoS惡意軟件過渡到非法礦工。

第三個參與者試圖使用針對CVE-2014-3120的漏洞攻擊從HTTP檔案伺服器下載名為“LinuxT”的檔案。LinuxT檔案不再託管在命令和控制(C2)服務器上,儘管請求該檔案的攻擊仍在繼續,但仍託管著其他一些惡意檔案。所有這些檔案都被ClamAV檢測為Spike特洛伊木馬的變體,並打算在x86、MIPS和ARM體系結構上運行。

作為我們研究的一部分,我們觀察到,在某些情况下,嘗試下載“LinuxT”示例的主機也會丟棄執行命令“echo'qq952135763”的有效負載。這種行為在幾年前的彈性蒐索錯誤日誌中已經看到。QQ是一個很受歡迎的中國社交媒體網站,它可能是引用了QQ帳號。我們簡要回顧了952135763的公共帳戶活動,發現了幾個與網路安全和利用有關的帖子,但沒有任何具體的活動。雖然這些資訊可能會對攻擊者提供更多資訊,但現時沒有足够的資訊得出任何確定的結論。

攻擊者個人網站的“關於我”頁面,連結到與上述命令相同的QQ帳號。

該網站還連結到潜在攻擊者的Gitee頁面。Gitee是一個類似於Github或Atlassian的中文程式碼共亯網站。

攻擊者的Gitee頁面。

儘管與此Gitee設定檔相關的項目沒有明確的惡意,但Talos已經將此QQ帳戶連結到了中國駭客論壇“小七7”上的一個設定檔,以及其他論壇上與攻擊和惡意軟件相關主題的帖子歷史。我們簡要回顧了952135763的公共帳戶活動,發現了一些與網路安全和利用有關的帖子,但沒有任何具體的活動。雖然這些資訊可以告訴我們更多關於攻擊者的資訊,但現時沒有足够的資訊得出任何確定的結論。

我們的蜜罐還檢測到其他主機利用Elasticsearch來丟棄執行“echo'qq952135763'”和“echo'952135763'”的有效負載,這表明這些攻擊與同一個QQ帳戶有關。但是,沒有發現與這些攻擊相關聯的IP試圖下載連結到此攻擊者的“LinuxT”負載。此外,與此攻擊者相關的其他活動不同,這些攻擊利用了較新的Elasticsearch漏洞,而不是較舊的漏洞。

塔洛斯發現的其餘三個參與者沒有被發現通過他們的漏洞傳遞任何惡意軟件。一個參與者發出“rm*”命令,而另兩個參與者則通過發出“whoami”和“id”命令對易受攻擊的服務器進行指紋識別。

結論

Talos發現多個攻擊者在我們的Elasticsearch蜜罐中利用CVE-2014-3120和CVE-2015-1427來丟棄各種惡意有效載荷。此外,塔洛斯還發現了一些社交媒體帳戶,我們認為這些帳戶可能屬於正在丟棄“LinuxT”負載的威脅行為體。這些Elasticsearch漏洞只存在於1.4.2及更低版本中,囙此運行現代版本Elasticsearch的任何集羣都不受這些漏洞的影響。考慮到這些集羣所包含的數据集的大小和敏感度,這種性質的破壞可能會造成嚴重的影響。塔洛斯敦促讀者修補和陞級到一個新版本的彈性蒐索,如果可能的話。此外,Talos強烈建議,如果您的用例嚴格不需要通過蒐索査詢發送腳本的功能,那麼就禁用該功能。

新聞報導

以下SNORTⓇ規則將檢測攻擊嘗試。請注意,其他規則可能在將來的某個日期發佈,當前規則可能會發生更改,等待其他漏洞資訊。有關最新的規則資訊,請參閱您的火力管理中心或Snort.org。

CVE-2014-3120:33830、36256、44690

CVE-2015-1427:3381436067

CVE-2017-10271:45304

CVE-2018-7600:46316

CVE-2018-1273:46473

下麵列出了我們的客戶可以檢測和封锁此威脅的其他方法。

高級惡意軟件保護(AMP)非常適合於防止這些威脅參與者使用的惡意軟件的執行。

Cisco Cloud Web Security(CWS)或Web Security Appliance(WSA)Web掃描可防止訪問惡意網站,並檢測這些攻擊中使用的惡意軟件。

電子郵件安全可以封锁威脅參與者發送的惡意電子郵件,作為其活動的一部分。

下一代防火牆(NGFW)、下一代入侵防禦系統(NGIPS)和Meraki MX等網路安全設備可以檢測與此威脅相關的惡意活動。

AMP威脅網格有助於識別惡意二進位檔案並在所有Cisco安全產品中建立保護。

傘,我們的安全互聯網閘道(SIG),封锁用戶連接到惡意域,IPs,和url,無論用戶是在公司網絡上或離開。

國際奧會:

第一演員:

攻擊IP地址:

[.]15[.]146[.]3443[.]240[.]65[.]12145[.]76[.]136[.]19645[.]76[.]178[.]3452[.]8[.]60[.]11854[.]70[.]161[.]251139[.]159[.]218[.]82個

託管惡意軟件的IP地址和埠:

45[.]76[.]122[.]92:8506207[.]148[.]70[.]143:8506

SHA256已交付的惡意軟件:

742914873DE40402B5D40F334D5448C5fe3b0ba0680498dbf52fb8f0ffc316f3a4d7e8202b3ec710b2ae63e70c83b907b08a8dae39049aeced9679301805583a77a4271fddbafa105fa3b1b507baa3

第二演員:

攻擊IP地址:

202[.]109[.]143[.]110

託管惡意軟件的IP地址和埠:

216[.]176[.]179[.]106:9090

SHA256已交付的惡意軟件:

BBD6839074ADEA7342213CC5E40A0DBB31C4C36DF5A5BC140757D6BAEC3F8415

第三演員:

攻擊IP地址:

125[.]231[.]139[.]7536[.]235[.]171[.]244

IP地址連結到QQ帳戶,但不傳遞惡意軟件:

121[.]207[.]227[.]84125[.]77[.]30[.]184

託管惡意軟件的IP地址和埠:

104[.]203[.]170[.]198:5522

SHA256以上IP地址託管的惡意軟件:

7795337FBB1C2E837DD24E6D426A0D6C306618E830DB6A2A6782848F43A4 E12298447D92A592671879FF849BC9CF08259BA6A

其餘參與者:

攻擊IP地址:

111[.]19[.]78[.]415[.]231[.]235[.]194221[.]203[.]81[.]226111[.]73[.]45[.]90121[.]207[.]227[.]84125[.]77[.]30[.]184