近期，各大安全組織檢測到勒索軟體正在攻擊Hadoop叢集，再次表明黑客正在嘗試從“大資料”中獲利，你的資料資產有沒有被黑客get了？

◇◆◇◆◇

勒索軟體攻擊Hadoop事件綜述

最近，部分黑客組織針對幾款特定產品展開了勒索攻擊。截止到上週，已有至少34000多臺MongoDB資料庫被黑客組織入侵，資料庫中的資料被黑客擦除並索要贖金。隨後，在2017年1月18日當天，又有數百臺ElasticSearch伺服器受到了勒索攻擊，伺服器中的資料被擦除。安全研究人員Niall Merrigan表示，截止到目前，受攻擊的ElasticSearch伺服器已經超過了2711臺。緊隨上述兩次攻擊事件，目前已經有黑客將目標瞄準了Hadoop叢集。這些勒索攻擊的攻擊模式都較為相似，在整個攻擊過程中並沒有使用任何勒索軟體，也沒有涉及常規漏洞，而是利用相關產品的不安全配置，使攻擊者有機可乘，輕而易舉地對相關資料進行操作。

◇◆◇◆◇

勒索攻擊模式

Hadoop框架的兩個核心設計是HDFS（Hadoop Distributed File System）和MapReduce。HDFS是一個分散式檔案系統，具有高容錯性的特點，並且被設計用來部署在廉價的硬體上；而且它能夠以高吞吐量來訪問應用程式的資料，尤其適合那些有著超大資料集的應用程式。MapReduce是一個使用簡易的軟體框架，基於它編寫出來的應用程式能夠執行在由上千個商用機器組成的大型叢集上，並以一種可靠容錯的方式並行處理上T級別的資料集。

最近出現的針對MongoDB、ElasticSearch和Hadoop的勒索攻擊模式都較為相似。在攻擊過程中並沒有涉及勒索軟體和常規漏洞，而是利用相關產品不安全的配置，這為攻擊者打開了方便之門。以MongoDB為例，這些受攻擊的資料庫沒有采取任何身份驗證，直接暴露在Internet公網上，一旦攻擊者登入到這些開放的資料庫就可以對其中的資料進行刪除等惡意操作了；而針對ElasticSearch伺服器的勒索攻擊手段也是類似，ElasticSearch的TCP訪問模式的預設埠為9300，HTTP訪問模式的預設埠為9200，如果這些埠不做任何保護措施地暴露在公網上，那麼對它的訪問將沒有任何身份認證，任何人在建立連線之後，都可以通過相關API對ElasticSearch伺服器上的資料進行增刪查改等任意操作。

而黑客針對Hadoop的勒索攻擊，也是利用了暴露在公網上的埠。Hadoop叢集的使用者往往出於便利或者本身安全意識不強的緣故，會將Hadoop的部分埠，比如HDFS的Web埠50070直接在公網上開放。攻擊者可以簡單使用相關命令來操作機器上的資料，比如：

使用上圖格式中的命令可以遞迴刪除test目錄下的所有內容。

根據shodan.io的統計結果顯示，在中國有8300多個Hadoop叢集的50070埠暴露在公網上，如下圖所示：

（該圖片來自shodan.io）

勒索軟體屢禁不止 　資料洩露愈演愈烈，企業何去何從?

接下來我們回到國內，看看阿里雲在大資料安全性方面是如何保護企業資料資產的。

2016年10月，阿里雲數加發布大資料產品MaxCompute V2.0，

2016年10月，阿里雲通過公安部組織的雲端計算等級保護新標準試點示範工作，成為全國首家通過國家級權威測評的雲端計算服務商。其中公共雲平臺、電子政務雲平臺、大資料平臺、雲運營系統、雲運維等五大系統通過等級保護三級備案、測評，金融雲平臺通過等級保護四級的備案、測評。 https://yq.aliyun.com/articles/61628

在2016年6月29日成都雲棲大會上，阿里雲資深總監肖力介紹，阿里雲通過了由全球頂級審計師事務所安永執行的第三方資料安全審計，結合阿里雲在會議上釋出的《阿里雲資料安全白皮書》，https://help.aliyun.com/knowledge_detail/42566.html ；至此，阿里雲資料安全管控體系算是正式出現在公眾視野。

每一天，阿里雲實時保護全中國35%的網站，這使得阿里雲具備國內最豐富的攻防對抗資料和樣本。再輔以強大的人工智慧、機器學習和計算能力，阿里雲能夠及時從海量的安全資料中抓取到攻擊線索、漏洞資訊和威脅情報等高價值資訊，提升雲上使用者的整體安全水平，結合雲盾、安全管家和安全生態等增值服務幫助雲上使用者安全、合規。

隨著雲端計算、大資料時代到來，不論是網際網路企業還是製造業將時刻釋放出海量資料，資料將成為企業最大的能源。資料探勘、分析及整合將使社會經濟、文化等各領域受益，資料的共享、共融也將成為社會發展的必然趨勢。然而，在此程序中，資料安全受到前所未有的挑戰，請謹慎選擇你的資料資產管家，不要讓黑客輕易get你的資訊；

原文連結：