유명 검색엔진 Elasticsearch, 랜섬웨어 공격의 타겟되고 있어... 사용자 주의

유명 검색엔진 Elasticsearch, 랜섬웨어 공격의 타겟되고 있어... 사용자 주의

First came mass MongoDB ransacking: Now copycat ransoms hit Elasticsearch

보안 취약점이 존재하는 수백대 Elasticsearch 서버의 DB가 랜섬웨어 공격으로 인해 삭제되는 사건이 발생했습니다. 보안 전문가에 따르면, 현재까지 2,711대의 Elasticsearch 서버가 공격을 당한 것으로 밝혀졌습니다.

불과 지난 주, 24,000대의 보안 취약점이 존재하는 MongoDB가 랜섬웨어의 공격을 받았습니다. 그로부터 얼마 후, 수백대의 Elasticsearch의 DB가 불법적으로 삭제되는 사건이 발생하였습니다. Elasticsearch 서버가 받은 이번 공격은 앞서 발생한 MongoDB 공격방식과 매우 유사합니다. 

공격자는 Elasticsearch 서버에 접속하여 서버에 존재하는 DB들을 모두 삭제하고, 서버 소유자에게 랜섬머니를 지불해야 DB들을 되찾을 수 있다고 협박했습니다. 따라서 Elasticsarch 서버 관리자들이 랜섬웨어 공격을 막기 위한 가장 효과적인 방법은 최신 패치를 진행하기 전까지 서비스를 잠시 중단하는 것으로 권고되고 있습니다.

이번 사건과 관련해 The Register이 발표한 초동분석보고서에 따르면, 총 360대의 Elasticsearch 서버가 공격을 당한 것으로 밝혀졌습니다. 그러나 또 다른 전문가는 실제로 랜섬웨어 공격을 받은 Elasticsearch 서버는 2,711대이며, 대부분의 서버는 미국에 위치해 있고 중국, 유럽 및 싱가폴에도 존재한다고 밝혔습니다.

이번에 발생한 공격이 이전에 발생했던 MongoDB 랜섬웨어 공격과 유사하다면, 이에 영향받는 Elasticsearch 서버는 급속도로 증가할 것으로 예상되고 있습니다. Shodan 검색엔진 창시자인 John Matherly는 현재 전체 인터넷 중 대략 35,000대의 Elasticsearch 서버에 보안 취약점이 존재하며, 그 중 대부분의 Elasticsearch 서버가 아마존 웹서비스를 통해 운영되고 있다고 밝혔습니다. 또한 Matherly는 현재까지 99,000대 MongoDB에 보안취약점이 존재하며, 지난주 목요일까지 총 34,000대의 MongoDB서버의 DB가 공격으로 인해 삭제되었다고 밝혔습니다. 

Elasticsearch가 랜섬웨어의 공격을 받을 경우, 다음과 같이 0.2 비트코인을 요구하는 멘트가 발생합니다.

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org

SEND 0.1 BTC TO THIS WALLET: 1Eqrzhx6yQafKm6WwKMhNAsGMxZXP7uitr IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS 4rc0s@sigaint.org HOW TO BUY BITCOIN: https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

관련 공격 대응 방법

1) 주기적인 DB 백업 

2) Elasticsearch의 서버 재설정

3) 사용자 접근제어 설정 및 방화벽, VPN, 프록시 서버 등의 사용 

출처 : 

http://www.zdnet.com/article/first-came-mass-mongodb-ransacking-now-copycat-ransoms-hit-elasticsearch/