ظهرت Mirai الروبوتات في عام 2016 وتمكنت في وقت قصير من
إصابة أكثر من 600 ألف جهاز إنترنت الأشياء. في الأسبوع الماضي ،
أصبح معروفًا عن الإصدار الجديد من Mirai ، والغرض منه هو خوادم Linux مع Hadoop. نحن نكتشف مدى الضعف الذي يستخدمه الفيروس وكيفية "تغطيته".
/ Flickr / DJ Shin / CC BY-SAبضع كلمات عن ميراي
أصبح ميراي معروفًا بسلسلة من الهجمات البارزة. كان أحدهم على مدونة الصحفي براين كريبس بعد نشر مقال حول مبيعات الروبوتات. الآخر على
Dyn كبير مزود DNS ، مما تسبب في خلل في الخدمات العالمية: تويتر ، رديت ، باي بال ، جيثب وغيرها الكثير.
من أجل "التقاط" أجهزة إنترنت الأشياء ، استخدم الروبوتات ثغرة أمنية ضعيفة في كلمة المرور (جعلها المصنعون هو نفسه بالنسبة لجميع الأجهزة الذكية). راقبت البرامج الضارة الإنترنت بحثًا عن منافذ telnet المفتوحة وأدخلت القوة الغاشمة أزواج كلمة مرور الدخول المعروفة للوصول إلى حساب مالك الجهاز. إذا نجحت ، أصبحت الأداة جزءًا من "الشبكة الضارة".
في نهاية عام 2016 ، نشر المطورون
الكود المصدري للفيروس على الشبكة. أدى ذلك إلى ظهور العديد من إصدارات البرامج الضارة الأخرى ، لكنها جميعًا جعلت هدفها جهاز إنترنت الأشياء. حتى وقت قريب ، نشأت دودة ميراي الآن ، التي تهاجم خوادم لينكس في مراكز البيانات.
الروبوتات "المجندين" لينكس
تم نشر التقرير الخاص بالنسخة الجديدة من ميراي بواسطة متخصصي أمن المعلومات في NETSCOUT. من المعروف أن الروبوتات تهاجم الخوادم مع تثبيت إطار Apache Hadoop. كما يقول خبراء الأمن ، تنجذب المتسللين بقوة الحديد. يستخدم Hadoop على خوادم الحوسبة عالية الأداء وخوارزميات التعلم الآلي. ستسمح شبكة من الأجهزة الإنتاجية بهجمات DDoS المدمرة.
لا تزال نسخة Mirai لنظام Linux تخترق الأنظمة من خلال أوراق اعتماد مصنع telnet. ولكن الآن لا يحتاج البرنامج إلى التمييز بين أنواع مختلفة من بنيات أدوات إنترنت الأشياء ، يهاجم ميراي الخوادم التي تعمل بمعالجات x86 فقط.
في الوقت نفسه ، لا يقوم برنامج الروبوتات الجديد بتثبيت البرامج الضارة على الجهاز الذي تم اختراقه من تلقاء نفسه. ترسل الدودة للمهاجمين عنوان IP الخاص بالجهاز الضعيف وزوج من اسم المستخدم وكلمة المرور الخاصة به. بعد ذلك ، يقوم المتسللون بتثبيت برامج تشغيل DDoS يدويًا.
ما الضعف تستخدم
تستغل البرامج الضارة ثغرة وحدة YARN ، المسؤولة عن إدارة موارد نظام المجموعة وجدولة المهام في Apache Hadoop ، لاختراق الخادم.
إذا كان تكوين YARN غير صحيح ،
يمكن للمهاجم الوصول إلى واجهة برمجة تطبيقات REST الداخلية للنظام عبر المنفذين 8088 و 8090. من خلال الاتصال عن بُعد ، يمكن للمهاجم إضافة تطبيق جديد إلى الكتلة. بالمناسبة ، هذه
المشكلة معروفة منذ عدة سنوات - نُشرت مآثر PoC على
ExploitDB و
GitHub .
على سبيل المثال ،
يتم تقديم رمز الاستغلال
التالي على GitHub:
بالإضافة إلى ميراي ، يتم استخدام هذه الثغرة الأمنية بواسطة برنامج DDoS bot آخر - DemonBot ، اكتشفه متخصصو Radware في أكتوبر. منذ بداية الخريف ، قاموا بتسجيل أكثر من مليون محاولة اختراق من خلال الضعف YARN يوميا.
ماذا يقول الخبراء
وفقًا لخبراء أمن المعلومات ، تم اختراق معظم المحاولات في الولايات المتحدة الأمريكية وبريطانيا العظمى وإيطاليا وألمانيا. في بداية الشهر ، تأثر ما يزيد قليلاً عن ألف خادم حول العالم بالثغرات في YARN. هذا ليس كثيرًا ، لكن لديهم جميعًا طاقة حوسبية عالية.
هناك أيضًا معلومات تفيد بأن ثغرة أمنية في Hadoop قد تتيح للمهاجمين الوصول إلى البيانات المخزنة على خوادم غير آمنة. حتى الآن ، لم يتم الإبلاغ عن مثل هذه الحالات ، لكن الخبراء
يحذرون من أن هذه مسألة وقت فقط.
لا ينتشر الإصدار الجديد من Mirai بسرعة - كل يوم لا يوجد سوى عدة عشرات الآلاف من المحاولات لتكسير آلات Hadoop من خلال YARN. علاوة على ذلك ، تأتي جميع الهجمات من عدد صغير من عناوين IP - ليس أكثر من أربعين.
/ فليكر / جيلين موريس / CC BYدفع هذا السلوك للمهاجمين متخصصي NETSCOUT إلى فكرة أن الفيروس لا ينتشر تلقائيًا - يقوم المتسللون بمسح الإنترنت يدويًا ونشر البرنامج على الأجهزة غير المحمية. هذا يعني أن أصحاب الخوادم التي تم تثبيت Hadoop لديهم المزيد من الوقت لإغلاق الثغرة الأمنية.
للحماية من الهجوم ،
تحتاج إلى تغيير إعدادات أمان الشبكة. يكفي للمسؤولين تقييد الوصول إلى نظام الحوسبة - لتكوين عوامل تصفية IP أو إغلاق الشبكة تمامًا من المستخدمين والتطبيقات الخارجية.
لمنع الوصول غير المصرح به إلى النظام ، ينصح خبراء الأمن أيضًا بترقية Hadoop إلى الإصدار 2.x وتمكين المصادقة من خلال بروتوكول Kerberos.
عدة مشاركات من مدونة VAS Experts:
بعض المواد الطازجة من مدونتنا على حبري: