勒索软件盯上了大数据 Elasticsearch服务器遭受勒索软件攻击 中国境内1956个设备可能受影响

据Sodan数据显示，暴露在公共互联网上的35,000个Elasticsearch集群可能遭受一系列勒索软件攻击，ZDNet数据显示其中中国境内有59台服务器受到影响，但据NTI绿盟威胁情报中心称，国内暴露在互联网上的ElasticSearch设备数字已经达到1956个。如今，攻击者们也很清楚“大数据”在使用者心中的分量。

受到攻击的服务器，可以看到类似下面的文本，要求支付比特币以便解密数据。

根据攻击者留下的邮件地址及比特币地址、勒索文本等信息，研究员将勒索软件的攻击者分为三类，并给出了数据分析，在文末下载的分析报告中可以看到相关数据分析详情。

邮件地址     比特币地址

p1l4t0s@sigaint.org    1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r

elasticsearch@mail2tor.com

4rc0s@sigaint.org       1Eqrzhx6yQafKm6WwKMhNAsGMxZXP7uitr

Elasticsearch是什么

ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，并作为Apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。

我们建立一个网站或应用程序，并要添加搜索功能，令我们受打击的是：搜索工作是很难的。我们希望我们的搜索解决方案要快，我们希望有一个零配置和一个完全免费的搜索模式，我们希望能够简单地使用JSON通过HTTP的索引数据，我们希望我们的搜索服务器始终可用，我们希望能够一台开始并扩展到数百，我们要实时搜索，我们要简单的多租户，我们希望建立一个云的解决方案。Elasticsearch旨在解决所有这些问题和更多的问题。

亚马逊Amazon Web服务器受影响不小

安全研究人员Victor Gevers和Niall Merrigan称这些攻击为“洗劫”（Ransack）。这些攻击已持续数周，之前仅将MongoDB数据库作为攻击目标。此类攻击的大致过程为：攻击者发现暴露的不安全数据库，（据推测）窃取其内容，索要赎金作为返还数据的筹码。

鉴于多个黑客加入了此攻击行动，试图利用未合理防护的数据库获利。截至周四，34,000个MongoDB数据库实例遭遇此攻击。Victor Gevers首先发现了此攻击，他在本周早些时候告诉《安全周刊》，所有这些不安全数据库在未来几周内（或更早些）可能会遭到入侵。

现在，攻击者似乎已将攻击目标扩大至Elasticsearch实例了，到目前为止已入侵了600多个主机。对于很多攻击者来说，勒索软件已被证明是一个一本万利的生意。鉴于MongoDB空间越来越小，难怪很多攻击者开始寻求更大攻击面。

Shodan的创始人John Matherly发布推文称，近35,000个Elastic服务器暴露在互联网上，这一数量对任何黑客来说都是极具吸引力。这些暴露的服务器中的大部分为Amazon Web服务(AWS)的服务器，该公司似乎已发送邮件警告客户提防攻击。

ZDNet认为中国遭受攻击的Elasticsearch服务器有59台 但NTI不这么认为

根据 Zdnet在2017年1月13日给出的消息 ，中国境内有59台服务器受到影响。

但根据NTI绿盟威胁情报中心给出的数据显示，国内暴露在互联网的ElasticSearch设备总数达到1956个。

其中各省、直辖市分布情况如下。如果需要了解更多详情，请 登录NTI绿盟威胁情报中心查询

目前尚不清楚Elasticsearch“洗劫”攻击是否是由发动MongoDB“大扫荡”的攻击者一手操纵的。基于受害人发布的信息，这些攻击采用的手段如出一辙：攻击者入侵不安全实例，窃取数据，然后通知数据所有人将款项转入比特币地址。数据所有人支付后，向攻击者发送邮件，通知返回数据。

Elastic解释说，

“Elasticsearch是一个分布式RESTful搜索和分析引擎”，用于“集中存储数据”。MongoDB实例默认情况下并无任何安全措施，而相比之下，Elasticsearch安装默认与本地主机绑定，因此避免了未授权访问。

随着接入互联网的不安全实例快速增长，他们无一例外地成为勒索软件的潜在目标，其所有人应考虑尽快采取安全措施进行安全加固。Elastic已发布了博文，表明将服务器暴露在互联网上存在风险，并介绍了如何保护这些服务器。

Elastic官方给出了防护方法

最理想的是在无法连通的隔离网络上运行Elasticsearch。该公司承认某些实例的集群必须通过互联网才能访问。在这种情况下，Elastic说，管理员应通过防火墙、VPN、反向代理或其他技术限制对集群的访问。该公司称，使用Elastic Cloud的客户并不受影响。

Elastic的咨询合作伙伴Itamar Syn-Hershko也详细介绍了如何保护集群。而且，他还解释了为什么管理员所采取的某些措施或进行的设置从安全角度看并不合适。

“不管进行何种操作，千万别将集群节点暴露在网络上。您的集群在任何时候都不应暴露在公共网络上。

还有GDI安全专家建议要保持近期数据库的备份频率，也许在关键时刻就要进行数据恢复了，同时给出了更为具体的防护建议

1. 建议对不受信任的IP地址限制访问端口9200
2. 用OpenVPN解决方案添加一个自由IAM控制和网络分段
3. 实施反向代理
4. 购买Elastic Shield

目前，攻击似乎只针对不安全的MongoDB和Elasticsearch安装，或许在不久的将来会盯上其他类型的数据库。BinaryEdge刚刚发现，由于Redis（远程字典服务器）、MongoDB、Memcached和Elasticsearch安装的错误配置，超过一拍字节的数据暴露在网络上。

Elasticsearch服务器遭受勒索软件攻击数据分析

点击图片下载