各大安全組織檢測到勒索軟體正在攻擊Hadoop集群

各大安全組織檢測到勒索軟體正在攻擊hadoop集群，近期，各大安全組織檢測到勒索軟體正在攻擊hadoop集群，再次表明黑客正在嘗試從「大資料」中獲利，你的資料資產有沒有被黑客get了?

勒索軟體攻擊hadoop事件綜述

最近，部分黑客組織針對幾款特定產品展開了勒索攻擊。截止到上週，已有至少34000多台mongodb資料庫被黑客組織入侵，資料庫中的資料被黑客擦除並索要贖金。隨後，在2023年1月18日當天，又有數百台elasticsearch伺服器受到了勒索攻擊，伺服器中的資料被擦除。安全研究人員niall merrigan表示，截止到目前，受攻擊的elasticsearch伺服器已經超過了2711臺。緊隨上述兩次攻擊事件，目前已經有黑客將目標瞄準了hadoop集群。這些勒索攻擊的攻擊模式都較為相似，在整個攻擊過程中並沒有使用任何勒索軟體，也沒有涉及常規漏洞，而是利用相關產品的不安全配置，使攻擊者有機可乘，輕而易舉地對相關資料進行操作。

勒索攻擊模式

hadoop框架的兩個核心設計是hdfs(hadoop distributed file system)和mapreduce。hdfs是乙個分布式檔案系統，具有高容錯性的特點，並且被設計用來部署在廉價的硬體上;而且它能夠以高吞吐量來訪問應用程式的資料，尤其適合那些有著超大資料集的應用程式。mapreduce是乙個使用簡易的軟體框架，基於它編寫出來的應用程式能夠執行在由上千個商用機器組成的大型集群上，並以一種可靠容錯的方式並行處理上t級別的資料集。

最近出現的針對mongodb、elasticsearch和hadoop的勒索攻擊模式都較為相似。在攻擊過程中並沒有涉及勒索軟體和常規漏洞，而是利用相關產品不安全的配置，這為攻擊者開啟了方便之門。以mongodb為例，這些受攻擊的資料庫沒有採取任何身份驗證，直接暴露在internet公網上，一旦攻擊者登入到這些開放的資料庫就可以對其中的資料進行刪除等惡意操作了;而針對elasticsearch伺服器的勒索攻擊手段也是類似，elasticsearch的tcp訪問模式的預設埠為9300，http訪問模式的預設埠為9200，如果這些埠不做任何保護措施地暴露在公網上，那麼對它的訪問將沒有任何身份認證，任何人在建立連線之後，都可以通過相關api對elasticsearch伺服器上的資料進行增刪查改等任意操作。

而黑客針對hadoop的勒索攻擊，也是利用了暴露在公網上的埠。hadoop集群的使用者往往出於便利或者本身安全意識不強的緣故，會將hadoop的部分埠，比如hdfs的web埠50070直接在公網上開放。攻擊者可以簡單使用相關命令來操作機器上的資料，比如：

使用上圖格式中的命令可以遞迴刪除test目錄下的所有內容。

根據shodan.io的統計結果顯示，在中國有8300多個hadoop集群的50070埠暴露在公網上。

勒索軟體屢禁不止　資料洩露愈演愈烈，企業何去何從?

接下來我們回到國內，看看阿里雲在大資料安全性方面是如何保護企業資料資產的。

2023年10月，阿里雲數加發布大資料產品maxcompute v2.0，maxcompute是乙個多租戶的大資料計算平台，預設情況下，各租戶間資料不共享，彼此隔離，但使用者可以通過maxcompute提供的授權機制將資料共享給其他人。

2023年10月，阿里雲通過公安部組織的雲計算等級保護新標準試點示範工作，成為全國首家通過國家級權威測評的雲計算服務商。其中公共雲平台、電子政務雲平台、大資料平台、雲運營系統、雲運維等五大系統通過等級保護**備案、測評，金融雲平台通過等級保護四級的備案、測評。

在2023年6月29日成都雲棲大會上，阿里雲資深總監肖力介紹，阿里雲通過了由全球頂級審計師事務所安永執行的第三方資料安全審計，結合阿里雲在會議上發布的《阿里雲資料安全***》， ;至此，阿里雲資料安全管控體系算是正式出現在公眾視野。

各大安全組織檢測到勒索軟體正在攻擊Hadoop集群

安全組簡介

安全組預設規則

新增安全組規則

各大安全組織檢測到勒索軟體正在攻擊Hadoop集群

安全組簡介

安全組預設規則

新增安全組規則

相關推薦