آسیب پذیری

بدافزار جدید ElasticSearch را به بات‌نت DDoS تبدیل می کند

محققان حوزه امنیت فناوری اطلاعات در Trend Micro به‌تازگی کمپینی از بدافزار را کشف کرده‌اند که پایگاه‌های داده Elasticsearch را به‌طورجدی مورد هدف قرار داده‌اند.

این کمپین از پایگاه‌های داده Elasticsearch  حفاظت نشده و یا با دسترسی عمومی، سوءاستفاده کرده و با آلوده کردن به بدافزار آن‌ها را به زامبی‌های بات نت برای اجرای حملات منع سرویس توزیع شده (DDoS) تبدیل می‌کنند.

طبق گفته محققان بدافزاری که برای این حملات استفاده‌شده یک برنامه در پشتی با نام Setag است که در اصل در سال ۲۰۱۷ کشف شد. برنامه Setag به قابلیت‌هایی مانند انجام حملات DDoS و دزدیدن اطلاعات موجود در سیستم مجهز شده است.

تحلیل‌های بیشتر بر روی فایل اجرایی از وجود بدافزاری به نام BillGates نیز پرده برداشت. بدافزار BillGates در سال ۲۰۱۴ کشف‌شده و دارای قابلیت‌های مشابه قابلیت‌های برنامه Setage نظیر امکان اجرای حملات DDoS است.

ElasticSearch بدافزار DDoS Botnet
روند حمله

این بدافزار حمله را در دو مرحله پیاده‌سازی می‌کند. در مرحله اول، بدافزار با اجرای اسکریپت s67.sh، دیوار آتش را غیرفعال می‌کند و دستگاه را وادار به استفاده از shell خاصی می‌کند. در مرحله دوم حمله بدافزار برخی فایل‌ها را حذف می‌کند. فایل‌هایی مانند فایل‌های پیکربندی گوناگون که در پوشه /tmp و یا فایل‌های استخراج رمز ارز نصب‌شده توسط سایر هکرها. تمام این کارها را برای اجرایی کردن عملیات خود انجام می‌دهد.

راه‌هایی که اسکریپت‌ها از آن بازیابی می‌شوند قابل‌توجه است. به‌عنوان‌مثال استفاده از دامنه‌های یک‌بارمصرف به مهاجمان امکان می‌دهد URLها را به‌محض شناسایی تغییر دهند.

شایان‌ذکر است که عاملان این حملات از وب‌سایت‌های هک شده برای بارگذاری فایل‌های آلوده خود استفاده می‌کنند. محققین Trend Micro نگران‌اند تا از وب‌سایت‌های هک شده نیز برای جلوگیری از شناسایی وب‌سایت‌هایی که مهاجمان ایجاد کرده‌اند، استفاده کنند.

مجرمان سایبری که پشت این حمله هستند از URL های کد شده برای بازیابی اسکریپت‌ها و وب‌سایت‌های قانونی هک شده استفاده می‌کنند. این بدان معنی است که آن‌ها در حال تست ابزار هک خود بوده و یا در حال آماده‌سازی زیرساختی برای بارگذاری حمله واقعی هستند.

به یاد داشته باشید سرورهای ElasticSearch پیش‌تر نیز با بدافزار دست‌به‌گریبان بوده است. در سپتامبر ۲۰۱۷ آقای Bob Diachenko (محقق امنیتی) بیش از ۴۰۰۰ سرور ElasticSearch که میزبان بدافزار PoS بوده‌اند را شناسایی کرده است. در کل این محقق بیش از ۱۵۰۰۰ سرور روی ElasticSearch یافته است که بدون امکان احراز هویت و کلمه عبور رهاشده‌اند.

هر کسب‌وکاری که از ElasticSearch استفاده می‌کند می‌بایست مراقب حملات جدید باشد. ElasticSearch وصله امنیتی برای رفع آسیب‌پذیری مورداستفاده توسط این حمله را منتشر کرده است. بنابراین برای حفظ امنیت در برابر این حمله می‌بایست وصله امنیتی اعمال شود.

مطالب مرتبط:
سرورهای Elasticsearch اطلاعات شخصی بیش از ۵۷ میلیون نفر را افشاء کردند
MongoDB و افشای اطلاعات ۶۶ میلیون کاربر
چگونه وب سایت خود را در برابر حمله DDOS مقاوم کنیم؟ – قسمت اول

بدافزار جدید ElasticSearch را به بات‌نت DDoS تبدیل می کند
Related Items:, , , , , , , , , , , , , , ,
To Top