مهاجمان پایگاه‌های داده‌ی Elasticsearch را به بات‌های منع سرویس توزیع‌شده تبدیل می‌کنند

به گزارش شرکت امنیتی ترند میکرو (Trend Micro)، اخیرا یک کمپین تلاش دارد تا کلاسترهای Elasticsearch را به یک بات‌نت منع سرویس توزیع‌شده (DDoS) تبدیل کند. در این حملات چندمرحله‌ای، از اسکریپت‌هایی برای ایجاد دربِ پشتی در سرورهای هدف و تبدیل آن‌ها به بات‌‌های منع سرویس توزیع‌شده استفاده می‌شود. به‌عنوان بخشی از این حمله، مهاجم پایگاه‌های داده/ سرورهای دردسترس و یا قابل‌دسترسی Elasticsearch را جستجو می‌کند. پس از جستجوی درخواست‌شده توسط کاربر با یک دستور رمزنگاری‌شده‌ی جاوا، یک شِل فراخوانی شده و سپس، اولین اسکریپت مخرب دانلود می‌شود.

اسکریپت مرحله‌ی اول تلاش می‌کند تا فایروال و هر برنامه‌ی رقابتی استخراج رمزارزی را که بر روی سرور هدف درحال اجرا است، متوقف کند. سپس، اسکریپت مرحله‌ی دوم احتمالا از یک وب‌سایت آسیب‌دیده بازیابی می‌شود. اعتقاد بر این است که مهاجم پشت این حملات به‌منظور تغییر سریع URLها به هنگام شناسایی، از دامنه‌های از بین‌رونده (expendable domains) استفاده می‌کند. به گفته‌ی شرکت ترند میکرو، با بهره‌برداری از وب‌سایت‌های آسیب‌دیده، مهاجمان می‌توانند از شناسایی خود جلوگیری کنند. محققان پس از آنالیز URL مشاهده‌شده در این حمله، دریافتند که مهاجم آسیب‌پذیری CVE-2015-1427، یک آسیب‌پذیری قدیمی در موتور اسکریپت Groovy در Elasticsearch (نسخه‌های ۱٫۳٫۷ – ۱٫۳٫۰ و ۱٫۴٫۲ – ۱٫۴٫۰) را مورد بهره‌برداری قرار داده است.

اسکریپت مرحله‌ی دوم نیز عملکرد مشابهی با اسکریپت مرحله‌ی اول داشته و سعی در متوقف‌کردن فایروال دارد. این اسکریپت همچنین فایل‌های خاصی که احتمالا با بدافزارهای رقیب مرتبط است، همراه با فایل‌های پیکربندی مختلف از دایرکتوری tmp/ را نیز حذف می‌کند. سپس، سایر فعالیت‌های استخراج رمزارز و فرآیندهای ناخواسته را در سیستم متوقف کرده و تلاش می‌کند تا علاوه‌بر متوقف‌کردن فرآیندهای درحال اجرا بر روی برخی از پورت‌های TCP، آثار آلودگی اولیه را حذف نماید. این اسکریپت همچنین باینری واقعی بدافزار را نیز دانلود می‌کند.

بارداده‌ی نهایی یک دربِ پشتی است که قابلیت سرقت اطلاعات سیستم و راه‌اندازی حملات منع سرویس توزیع‌شده را دارد. این تهدید پیش از این نیز در بهره‌برداری از آسیب‌پذیری CVE-2017-5638، یک آسیب‌پذیری اجرای کد از راه دور در آپاچی استراتوس ۲ (Apache Struts 2) مشاهده شده بود. همچنین، نمونه‌های مشاهده‌شده شبیه به بدافزار BillGates هستند که برای اولین بار در سال ۲۰۱۴ میلادی شناسایی شده و برای سرقت سیستم‌ها و راه‌اندازی حملات منع سرویس توزیع‌شده شناخته می‌شود. به گفته‌ی ترند میکرو، اخیرا انواع مختلفی از بدافزار BillGates درگیر در فعالیت‌های مربوط به بات‌نت‌ها مشاهده شده است. اوایل سال جاری، محققان امنیتی تالوس (Talos)، یکی از واحدهای اطلاعاتی شرکت امنیت سایبری سیسکو (Cisco) اعلام کردند که چندین گروه، کلاسترهای ناامن Elasticsearch را هدف قرار داده و یکی از آن‌ها تلاش کرده است تا با استفاده از یک بدافزار مشتق‌شده از BillGates، سرورها را آلوده کند.

به گفته‌ی شرکت ترند میکرو، حمله به سرورهای Elasticsearch نسبتا سرراست و سودآور است. در این حملات، مهاجمان یا به‌دنبال سرورهای ناامن یا با پیکربندی نادرست هستند و یا در تلاشند از آسیب‌پذیری‌های قدیمی به‌منظور توزیع یک بارداده در سیستم هدف بهره‌برداری کنند که این بارداده معمولا شامل بدافزارهای استخراج رمزارز یا حتی باج‌افزار است.

این شرکت در آخر نتیجه‌گیری می‌کند: «این واقعیت که در این حمله، مهاجمان از اقدامات احتیاطی برای جلوگیری از شناسایی خود استفاده کرده و روش‌های اجرای چندمرحله‌ای را به‌کار می‌گیرند، یک پرچم قرمز است. استفاده از URLهای رمزنگاری‌شده، مراحل‌ بازیابی اسکریپت‌ها و به خطر افتادن وب‌سایت‌های قانونی توسط مجرمان سایبری پشت این حمله، می‌تواند به این معنا باشد که آن‌ها تنها دارند ابزارهای هک‌کردن خود را آزمایش کرده و یا درحال آماده‌سازی زیرساخت‌های خود قبل از راه‌اندازی حملات واقعی هستند!»

منبع