很多文章的报道都是由微观而宏观，今日小编讲给大家带来的关于黑客在新的恶意软件活动中定位Elasticsearch集群的资讯也不例外，希翼可以在一定的程度上开阔你们的视野！y有对黑客在新的恶意软件活动中定位Elasticsearch集群这篇文章感兴趣的小伙伴可以一起来看看

安全研究人员观察到针对Elasticsearch集群的多个威胁参与者的攻击数量激增，这被认为是企图在受害者机器上传播恶意软件。

根据 思科Talos研究人员发表的一篇博客文章，攻击者浮现了使用1.4.2及更低版本的目标群集，并利用旧漏洞将脚本传递给搜索查询并放弃攻击者的有效负载 。研究人员发现恶意软件和加密货币矿工都被留在了目标机器上。

研究人员解释说，由于Elasticsearch通常用于治理非常大的数据集，因此，由于存在大量数据，成功攻击群集的后果可能是毁灭性的。

黑客向来在使用CVE-2015-1427向来部署两个不同的有效载荷。第一个有效负载调用wget来下载bash脚本，而第二个有效负载使用混淆的Java来调用bash并使用wget下载相同的bash脚本。

研究人员还看到了第二个利用CVE-2014-3120的黑客，利用它来提供有效载荷，该有效载荷是比尔盖茨分布式拒绝服务恶意软件的衍生物。“这种恶意软件再次浮现是值得注意的，因为虽然Talos之前在我们的蜜罐中观察到了这种恶意软件，但大多数参与者已经从DDoS恶意软件转移到了非法矿工，”研究人员说。

据观察，第三名黑客使用针对CVE-2014-3120的攻击从HTTP文件服务器下载名为“LinuxT”的文件。试图下载“LinuxT”示例的主机也丢弃了执行命令“echo”qq952135763。'的有效负载。

“在弹性搜索错误日志中可以看到这种行为可以追溯到几年前，”研究人员说。

研究人员设置的蜜罐还检测到利用Elasticsearch的其他主机丢弃执行“echo”qq952135763“和”echo“952135763”的有效载荷，这表明这些攻击与同一个QQ帐户有关。

“然而，没有观察到与这些攻击相关的IP试图下载与此攻击者相关联的”LinuxT“有效负载。此外，与此攻击者相关的其他活动不同，这些攻击利用了较新的Elasticsearch漏洞，而不是较旧的漏洞，“研究人员表示。

研究人员表示，这些Elasticsearch漏洞仅存在于1.4.2及更低版本中，因此运行现代版Elasticsearch的任何群集都不受这些漏洞的影响。“鉴于这些集群所包含的数据集的大小和敏感性，违反这种性质的影响可能非常严峻，”研究人员警告说。

如果可能的话，敦促使用Elasticsearch的组织修补并升级到更新版本的Elasticsearch。