編者按：關(guān)于 Elasticsearch 勒索事件，雷鋒網(wǎng)此前已經(jīng)進(jìn)行過(guò)報(bào)道。1月18日，雷鋒網(wǎng)收到白帽匯公司關(guān)于該事件的最新研究結(jié)果。該文轉(zhuǎn)自微信公眾號(hào)“北京白帽匯科技有限公司”，作者為“安全實(shí)驗(yàn)室”，原文標(biāo)題為《威脅情報(bào)預(yù)警：Elasticsearch勒索事件》，雷鋒網(wǎng)已獲授權(quán)。

----

2017年1月12日，白帽匯監(jiān)測(cè)到針對(duì)全球使用廣泛的全文索引引擎Elasticsearch的勒索事件，經(jīng)過(guò)多日的跟進(jìn)分析，直至2017年1月17日，共有3波勒索者，根據(jù)白帽匯FOFA系統(tǒng)對(duì)刪除之前數(shù)據(jù)與被刪除數(shù)據(jù)進(jìn)行對(duì)比分析，此次攻擊被刪除的數(shù)據(jù)至少500億條，被刪除數(shù)據(jù)至少450TB。在勒索事件發(fā)生后，有1%的Elasticsearch啟用了驗(yàn)證插件，另外有2%則關(guān)閉了Elasticsearch。

   

【注：以上比特幣價(jià)格按照事發(fā)當(dāng)日比特幣價(jià)格換算】

事件回顧

2017年1月12日上午10時(shí)

白帽匯發(fā)現(xiàn)第一波勒索者，分析統(tǒng)計(jì)，發(fā)現(xiàn)共有10264臺(tái)服務(wù)器已經(jīng)遭受攻擊，并且還一直持續(xù)增長(zhǎng)。

攻擊者會(huì)刪除Elasticsearch所有索引信息，并創(chuàng)建一個(gè)名為warning的索引，勒索者寫(xiě)入需要支付0.2比特幣才給受害者發(fā)送數(shù)據(jù)(目前按照比特幣市場(chǎng)價(jià)格，約等于150美元),并留下郵箱地址p1l4t0s@sigaint.org。該郵箱域與Mongodb勒索的作者使用的是同一個(gè)域，id不同.據(jù)了解,此前Mongodb勒索攻擊者其實(shí)并未備份數(shù)據(jù)，而是直接刪除，而目前確認(rèn)Elasticsearch也是一樣，并未對(duì)數(shù)據(jù)進(jìn)行備份，而是直接刪除全部。 

2017年1月14日中午12時(shí)

白帽匯發(fā)現(xiàn)第二波勒索者，創(chuàng)建一個(gè)名為please_read名字的索引。攻擊者留下類(lèi)似的文字，該勒索信息顯示需要支付0.5BTC（按照當(dāng)天比特幣市場(chǎng)價(jià)格，約等于400美元）。郵箱elasticsearch@mail2tor.com。

2017年1月16日中午12時(shí)

白帽匯發(fā)現(xiàn)第三波勒索者，其創(chuàng)建的索引為pleasereadthis.使用的郵箱地址為4rc0s@sigaint.org。

影響范圍

截止2017年1月17日，白帽匯通過(guò)FOFA系統(tǒng)中的68000余個(gè)Elasticsearch進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)目前全球共有9750臺(tái)存在勒索信息。其中此次被刪除的數(shù)據(jù)達(dá)到至少500億條，被刪除數(shù)據(jù)大小至少450TB。通過(guò)兩次勒索情況的對(duì)比分析，發(fā)現(xiàn)有大概1%的Elasticsearch使用了驗(yàn)證插件，另外有2%則關(guān)閉Elasticsearch，現(xiàn)在已經(jīng)無(wú)法訪問(wèn)。

白帽匯FOFA系統(tǒng)中顯示，互聯(lián)網(wǎng)上公開(kāi)可訪問(wèn)的Elasticsearch超過(guò)68000余臺(tái)。其中，共有受害總數(shù)9750臺(tái)。

目前全球中受影響最多的為美國(guó)4380臺(tái)，其次是中國(guó)第二944臺(tái)。法國(guó)787臺(tái)，愛(ài)爾蘭462臺(tái)，新加坡418臺(tái)。以下是Elasticsearch勒索全球分布范圍：

 

【Elasticsearch受勒索影響全球分布】

其中，中國(guó)受害的有944臺(tái)。其中，浙江省受影響最嚴(yán)中，有498臺(tái)，其次是北京，186臺(tái)，上海52臺(tái)，湖南43臺(tái)，上海42臺(tái)。

【Elasticsearch中國(guó)地區(qū)受害影響范圍】

安全建議

Elasticsearch方便，實(shí)用的同時(shí)，也引入了安全隱患和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

那么如何加強(qiáng)安全防范呢，這里給大家如下安全建議：

1、 增加驗(yàn)證，官方推薦并且經(jīng)過(guò)認(rèn)證的是shield插件，該項(xiàng)目為收費(fèi)項(xiàng)目，可以試用30天。網(wǎng)絡(luò)中也有免費(fèi)的插件，可以使用elasticsearch-http-basic，searchguard插件。

Shield 可以通過(guò)bin/plugin install [github-name]/[repo-name] 形式安裝。

2、 使用Nginx搭建反向代理，通過(guò)配置Nginx實(shí)現(xiàn)對(duì)Elasticsearch的認(rèn)證。

3、 如果是單臺(tái)部署的Elasticsearch，9200端口不要對(duì)外開(kāi)放。

4、 使用1.7.1以上的版本。在1.7.1以上版本目前還沒(méi)有爆出過(guò)相關(guān)漏洞。

5、 另外elasticsearch的官方也有其他產(chǎn)品與Elasticsearch配合緊密的，這些產(chǎn)品也存在漏洞，企業(yè)如果有使用其他相關(guān)產(chǎn)品存在漏洞也要進(jìn)行修復(fù)，如Logstash，Kibana。

6、 加強(qiáng)服務(wù)器安全，安裝防病毒軟件，使用防火墻，網(wǎng)站安裝WAF.并對(duì)數(shù)據(jù)庫(kù),系統(tǒng),后臺(tái),使用的服務(wù)設(shè)置復(fù)雜的密碼,建議設(shè)置16位的大小寫(xiě)字母+特殊字符+數(shù)字組合。

相關(guān)鏈接

全球Elasticsearch分布

https://fofa.so/result?qbase64=KChwb3J0PTkyMDAgJiYgcHJvdG9jb2w9aHR0cCAmJiBiYW5uZXI9anNvbikg%0AfHwgKGhlYWRlcj1qc29uICYmIGJvZHk9ImNsdXN0ZXJfbmFtZSIpKQ%3D%3D

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。