viernes, enero 20, 2017

Big Data Security Tales: ElasticSeach y Kibana objetivos del Ransomware #BigData

Cuando comenzó a funcionar económicamente el esquema del ransomware para los cibercriminales, era fácil de prever que esto iría mutando hacia el secuestro no solo de archivos - que sigue siendo un negocio de muchos BitCoins - sino de cualquier cosa que se pusiera por delante. Ya no basta con proteger los archivos de tus sistemas operativos Windows contra el ransomware, sino que hay que vigilar los programas críticos de la compañía, o de la la industria, ya que hemos visto ataques que han inutilizado hospitales o fábricas completas hasta que se ha pagado el rescate.

Figura 1: ElasticSearch y Kibana objetivos del ransomware

Supongo que en el proceso de cifrar archivos en los equipos, hubo un momento en que un ransomware cifró un archivo que era necesario para que funcionara una aplicación, y la víctima pago con diligencia, lo que hizo que se comenzara a focalizar este tipo de ransomware también en los sistemas industriales y las infraestructuras críticas, o como ya vimos, en los hospitales.

Figura 2: El ransomware se focalizó en los hospitales

Al final, el modelo de negocio de un ransomware es quitarte algo por lo que pagarías dinero por recuperar, ya sean las fotos de tus hijos, el teléfono de tu novia, los documentos de la empresa o el fichero con las contraseñas de tus cuentas bancarias. Si el ransomware te puede quitar algo así que necesites con urgencia, entonces tal vez sea más fácil para ellos hacer caja por devolvértelo.

Ransowmare focalizado en tu correo elecetrónico

Bajo esta premisa, el año pasado nosotros estuvimos trabajando en ver lo fácil que sería por un cibercriminal quitarte el correo electrónico que tengas almacenado en la nube, y jugando con el robo de Tokens OAuth publicamos el estudio de Sappo (Spear-Apps to Steal OAuth Tokens) y mostramos como un ransomware puede cifrarte el correo. Parece una locura, pero no en los tiempos que vivimos, e hicimos un estudio y una PoC para robarte el correo de Office 365, al que llamamos RansomCloud O365.

Figura 3: Demo de RansomCloud O365

Estos días, seguro que todos habéis oído hablar del ramsonware que se está llevando por delante las bases de datos MongoDB inseguras, aprovechándose de algo tan sencillo como el uso de credenciales por defecto en muchos de estos entonos - de lo que hablamos hace ya mucho tiempo en el artículo de "Vigila que tu MongoDB no le de los datos a cualquiera". Según las cuentas echadas, podrían ser más de 34.000 bases de datos las que hayan caído bajo este esquema de ransomware.

Ransomware a por ElasticSeach

Visto que el esquema funciona, ¿por qué no seguir con cualquiera de los muchos servicios que están publicados en Internet con contraseñas por defecto? Hay muchos servicios abiertos a Internet con datos críticos para sistemas que pueden ser cifrados por un ransomware y secuestrar la información. En esta serie de Big Data Security Tales ya hemos hablado de algunos paneles de administración que adolecían de esta vulnerabilidad, o haciendo uso de los sistemas - aún vulnerables - a Connection String Parameter Pollution (CSPP) se podrían gestionar muchas aplicaciones que acabaran con las bases de datos relaciones adminsitradas por ellos.
Una de las víctimas que ha comenzado a ser utilizada en este esquema ha sido el servicio de ElasticSearch, muy común en los entornos de Big Data. Este motor de búsqueda es clave en el alto rendimiento de muchas aplicaciones que funcionan en entornos de alto rendimiento, ya que su capacidad de generar índices para acceder a los datos almacenados en sistemas de clave-valor es fundamental para que sea factible el manejo de los volúmenes de datos con los que trabajamos hoy en día.

Figura 5: Mensaje en un índice de ElasticSearch víctima de un ransomware

Son muchos los que están expuestos con credenciales por defecto y sin credenciales de acceso, lo que permite a los atacantes buscarlos, conectarse a ellos y cifrar el contenido de los índices para que aparezca un único mensaje en texto claro como el que veis en la imagen superior.

ElasticSeach & Kibana en Shodan

Estos servicios de ElasticSeach son fáciles de localizar haciendo un poco de hacking con buscadores, y en Shodan, hay miles de ellos solo con buscar el puerto por defecto Well-Known que usan: El 9200. Una conexión al servidor y se accede al JSON que indica que el servicio está Up & Running y accesible.

Figura 6: Servicios de ElasticSearch descubiertos en Shodan

No es necesario ni conectarse para saber que está abierto, ya que si lo está, en Shodan aparecerá en la información que se muestra junto con el puerto, el nombre del cluster, el número de nodos, el número de índices, el tamaño y el estado en que se encuentra el índice.

Figura 7: Conexión a un servicio de ElasticSeach abierto en Internet

Como se puede ver es un entorno basado en comunicación JSON, pero se puede poner más bonito usando otro servicio muy popular que es Kibana. Este servicio no es nada más que un entorno cliente de conexión a los índices de ElasticSearch que permite trabajar "in a friendly way". También es fácil localizarlo, buscando por el puerto 5601 y haciendo una petición web. 

Figura 8: Búsqueda de servicios Kibana en Internet

Si lo tiene abierto, el servicio dejará explorar, buscar y gestionar los índices con los que ElasticSearch está funcionando, lo que atrae la atracción de un posible atacante hacia tu entorno de Big Data.

Figura 9: Servicio Kibana abierto a Internet descubierto con Shodan

Al final, los cibercriminarles van a buscar eso que tú más quieres e intentar quitártelo. No para siempre si pagas, pero te lo van a quitar el tiempo suficiente para que tú desembolses los BitCoins que ellos quieren obtener de este negocio. Ten cuidado con tus activos.
- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)

- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database
Post Data: Recuerda que para tus documentos en Windows puedes probar Latch ARW que protege las carpetas con una capa adicional de seguridad que evita que te puedan cifrar el contenido con un ransomware que use tus credenciales de usuario.

Saludos Malignos!

1 comentario:

Unknown dijo...

Genial hay que estar atentos. y màs.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares