Mehrstufiger Angriff kann Elasticsearch-Datenbanken zu Botnet-Zombies machen

Originalbeitrag von Jindrich Karasek und Augusto Remillano II

Die Suchmaschine Elasticsearch ist für Cyberkriminelle dank ihres breiten Einsatzes in Unternehmen ein begehrtes Ziel. Im ersten Quartal dieses Jahres nahmen die Angriffe gegen Elasticsearch-Server zu, wobei es hauptsächlich um die Platzierung von Kryptowährungs-Mining Malware ging. Doch nun gab es einen neuen Angriff, der von dem üblichen Muster abweicht, indem er Backdoors als Payload mit sich führt und die betroffenen Ziele in Botnet Zombies für Distributed Denial of Service (DDoS)-Angriffe umwandelt.

Die Angreifer nutzen eine Shell mit einer speziell angefertigten Abfrage mit codierten Java-Befehlen, um erst nach exponierten oder öffentlich zugänglichen Elasticsearch-Datenbanken/Servern zu suchen. Sobald die Shell fündig wird, lädt sie ein bösartiges Skript von einer Domäne herunter, die laut der Analyse von Trend Micro leicht zu ersetzen ist. Auch versucht dieses erste Skript, die Firewall zu deaktivieren und bereits erste Mining-Aktivitäten zu starten. Ein zweites Skript wird dann abgerufen, wahrscheinlich von einer kompromittierten Website.

Die Art und Weise, wie die Skripts abgerufen werden, ist bemerkenswert. Die Verwendung von ersetzbaren Domänen beispielsweise ermöglicht es Angreifern, URLs auszutauschen, sobald sie erkannt werden. Der Missbrauch kompromittierter Websites ermöglicht es zudem, die Entdeckung von speziell von den Angreifern entwickelten Websites zu umgehen.

Bild 1. Der Infektionsablauf beim Angriff

In dem von Trend Micro entdeckten Angriff war die involvierte URL speziell darauf ausgerichtet, CVE-2015-1427 auszunutzen, eine alte bereits upgedatete Lücke in der Groovy Scripting Engine von Elasticsearch. Es zeigte sich, dass eine Backdoor-Variante zum Einsatz kommt, die Systeminformationen stiehlt und DDoS-Angriffe starten kann. Weitere Einzelheiten zum Angriff umfasst der Originalbeitrag.

Fazit

Nach den Angriffen auf Elasticsearch der letzten Jahre, lassen die derzeitigen Änderungen – Vorkehrungen zur Vermeidung der Erkennung und mehrstufige Ausführungstechniken – aufhorchen. Umso wichtiger sind geeignete Sicherheitsmaßnahmen zum Schutz von digitalen Assets. Elastic hat bereits einen Patch für die hier missbrauchte Sicherheitslücke veröffentlicht und auch Guidelines für die richtige Konfiguration und Aktivierung der Sicherheitsfunktionen. Zusätzliche Sicherheitsmaßnahmen wie Datenkategorisierung, Netzwerksegmentierung und der Einsatz von Intrusion Prevention-Systemen kann das Risiko der Gefährdung weiter reduzieren.

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Indicators of Compromise (IoCs):

Hashes ELF_SETAG.SM (SHA-256):

  • 8ebd963f86ba62f45b936f6d6687ccb1e349a0f8a6cc19286457895c885695c8 (.pprt)
  • cfe3dccf9ba5a17e410e8e7cf8d0ff5c1b8688f99881b53933006250b6421468 (.ppol)

Verwandte Domains/URLs:

  • hxxps://crazydavesslots[.]com/[.]ppol
  • hxxp://aduidc[.]xyz

Zusätzliche Analysen von Tony Bao

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.