Elasticsearch 數據庫被植后門 變成 DDoS 僵尸網絡

彈性搜索 (ElasticSearch) 是目前流行的基于 Java 開源技術的分布式搜索引擎，被云服務提供商廣泛使用，如亞馬遜彈性云計算 (EC)、微軟 Azure、谷歌云引擎等均采用此種技術。

2014 年 5 月，Elasticsearch1.1.x 版本被爆存在遠程任意代碼執行漏洞 (CVE-2014-3120)，當攻擊者利用漏洞提交特制的 HTTP 請求時，就可獲得 root 權限，執行任意代碼。

2014年7月，卡巴斯基研究人員 Kurt Baumgartner 發現，亞馬遜云 (EC2) 由于廣泛使用未修復漏洞的搜索引擎  Elasticsearch，導致被植入后門，并被安裝了能發起包括臭名昭著的 DNS 反射放大攻擊在內的多種 DDoS 攻擊的僵尸工具。卡巴斯基已經跟蹤到多起 DDoS 攻擊事件，包括針對美國的大型地區性銀行、大型電子制造商和日本的服務提供商的 DDoS 攻擊均是來自亞馬遜云 (EC2)。

2015 年，Elasticsearch 1.3.0-1.3.7 和 1.4.0-1.4.2 的Groovy 腳本引擎被曝存在遠程代碼執行漏洞 (CVE-2015-1427)。該漏洞允許攻擊者構造 Groovy 腳本繞過沙箱檢查執行 shell 命令。

2017 年，Elasticsearch 遭遇勒索軟件攻擊，攻擊者刪除了 Elasticsearch 所有索引信息，并創建一個名為 warning 的索引，勒索者寫入需要支付 0.2 比特幣才給受害者發送數據。結果導致至少 500 億條（至少 450TB）數據被刪除。

2019 年 2 月，著名安全研究員 Bob Diachenko 在網上發現了一個包含個人敏感信息記錄的公共 Elasticsearch 集群，這些信息由道瓊斯公司編寫。該集群包含的數據對任何物聯網搜索引擎開放，公眾可以隨意閱讀。泄露的數據庫大小為 4.4GB，共包含 2418862 份記錄，包括世界各國政府官員、政治家和有政治影響力的人的個人敏感信息。

近日，趨勢科技報告稱，最新監測到的攻擊活動正試圖將 Elasticsearch 集群納入僵尸網絡以發動分布式拒絕服務 (DDoS) 攻擊。

這種多階段攻擊利用腳本最終將后門傳遞到目標服務器，并將其轉化為 DDoS 僵尸網絡。

作為攻擊的一部分，威脅行為者會搜索公開或可公開訪問的Elasticsearch數據庫/服務器。使用攻擊者制作的搜索查詢通過已編碼的 JAVA 命令調用 shell，然后就可以實現第一個惡意腳本的下載過程。

第一階段腳本會嘗試關閉防火墻，以及其他已在目標服務器上運行的任何競爭性加密貨幣挖掘程序。接下來，可以從受感染的網站中檢索第二階段腳本。

趨勢科技研究人員認為，這些攻擊背后的威脅行為者是在檢測到 URL 時，使用一次性域名 (expendable domain) 快速替換了 URL。通過濫用受到破壞的網站，攻擊者可以輕松地逃避檢測。

研究人員還發現，在攻擊活動中觀察到的 URL 旨在利用 CVE-2015-1427——這是Elasticsearch 1.3.0 - 1.3.7和1.4.0 - 1.4.2 版本的 Groovy 腳本引擎中存在的一個舊漏洞。

第二階段腳本具有與第一階段類似的功能，因為它也試圖阻止防火墻。此外，它還會刪除某些可能與競爭性惡意軟件相關的文件，以及 / tmp目 錄中的各種配置文件。

接下來，除了殺死在某些 TCP 端口上運行的進程之外，它還會從系統中殺死其他加密貨幣挖掘活動和不需要的進程，并嘗試刪除初始感染的痕跡。此外，該腳本還會下載真實的惡意軟件二進制文件。

最后的有效載荷是一個后門，能夠竊取系統信息并發動 DDoS 攻擊。之前發現的 CVE-2017-5638 漏洞就利用了這種威脅，CVE-2017-5638 是 Apache Struts2 的 Jakarta Multipart parser 插件中存在的一個遠程代碼執行漏洞。攻擊者可以在使用該插件上傳文件時，修改 HTTP 請求頭中的 Content-Type 值來觸發該漏洞，導致遠程執行代碼。

研究人員表示，其觀察到的樣本類似于 BillGates 惡意軟件，該惡意軟件于 2014 年首次被發現，并以劫持系統和發動 DDoS 攻擊而聞名。根據《2015年第三季度云盾互聯網DDoS狀態和趨勢報告》顯示，BillGates 攻擊程序作為國內最流行的分布式拒絕服務攻擊 (DDoS) 軟件之一，被攻擊者廣泛使用，在 DDoS 攻擊程序中占比高達 32.33%。

趨勢科技指出：最近，我們在僵尸網絡相關活動中發現了 BillGates 惡意軟件的變種。

今年早些時候，思科的 Talos 安全情報和研究小組就曾警告，最近攻擊激增，主要集中在不安全的 Elasticsearch 搜索集群。據信，至少有 6 個獨立的威脅集團參與其中，利用舊漏洞攻擊未打補丁的服務器，其中一個團隊還試圖用 BillGates 惡意軟件變種感染服務器。

趨勢科技表示，針對 Elasticsearch 服務器的攻擊相對簡單且是利益驅動的。不法分子尋求不安全或配置錯誤的服務器，或是利用舊漏洞來停止通常由加密貨幣挖掘惡意軟件甚至勒索軟件所組成的有效載荷。

因此，采取預防措施來逃避檢測并使用多階段執行技術的攻擊是一個危險信號。這次攻擊背后的網絡犯罪分子或威脅行為者使用了 URL 編碼，分階段檢索腳本以及受損的合法網站，這可能意味著他們只是在發動實際攻擊之前測試自己的黑客工具或準備他們的基礎設施。