Mirai僵尸网络于2016年出现,并在短时间内
感染了超过60万个IoT设备。 上周,
人们知道了Mirai的新版本,其目的是使用Hadoop的Linux服务器。 我们确定了病毒使用什么漏洞以及如何“发现”它。
/ Flickr / DJ Shin / CC BY-SA关于未来的几句话
Mirai以一系列引人注目的攻击而闻名。 在发表有关僵尸网络销售的文章后,有人在记者布莱恩·克雷布斯的博客上发表文章。 另一个位于
大型DNS提供商Dyn上 ,后者导致世界服务出现故障:Twitter,Reddit,PayPal,GitHub和许多其他服务。
为了“捕获”物联网设备,僵尸网络使用了弱密码漏洞(制造商对所有智能设备都使用相同的密码)。 该恶意软件监视Internet上是否存在开放的telnet端口,并强行输入已知的登录密码对以访问设备所有者的帐户。 如果成功,该小工具将成为“恶意网络”的一部分。
在2016年底,开发人员
将病毒的
源代码发布到了网络上。 这导致了更多版本的恶意软件的出现,但它们都将其目标定为物联网设备。 直到最近,Mirai蠕虫才出现,它攻击数据中心的Linux服务器。
僵尸网络“招募” Linux
NETSCOUT的信息安全专家发布了有关Mirai新版本
的报告 。 众所周知,僵尸网络会攻击安装了Apache Hadoop框架的服务器。 正如安全专家所说,黑客被铁的力量所吸引。 Hadoop用于高性能计算服务器和机器学习算法。 生产性设备网络将允许更具破坏性的DDoS攻击。
Linux的Mirai版本仍然可以通过telnet工厂凭据来入侵系统。 但是现在该程序无需区分IoT小工具的不同类型的体系结构,Mirai只攻击带有x86处理器的服务器。
同时,新的僵尸网络不会自行在被黑客入侵的设备上安装恶意软件。 该蠕虫向攻击者发送易受攻击机器的IP地址以及该机器的用户名和密码。 然后,黑客手动安装DDoS僵尸程序。
使用了什么漏洞
该恶意软件利用YARN模块的漏洞来入侵服务器,该模块负责管理群集资源和调度Apache Hadoop中的任务。
如果YARN配置不正确,则攻击者
可以通过端口8088和8090获得对系统内部REST API的访问。通过远程连接,攻击者可以向集群添加新的应用程序。 顺便说一下,这个
问题已经知道了几年了
-PoC漏洞已经在
ExploitDB和
GitHub上发布 。
例如,
以下漏洞利用
代码在GitHub上显示:
除了Mirai之外,Radware专家于10月发现的另一个DDoS机器人DemonBot也使用此漏洞。 从秋天开始,他们每天就通过YARN漏洞记录超过一百万次黑客攻击尝试。
专家怎么说
据信息安全专家称,最多的尝试是在美国,英国,意大利和德国进行的。 在本月初,全球有超过一千台服务器受到YARN中漏洞的影响。 虽然数量不多,但是它们都具有很高的计算能力。
还有信息表明,Hadoop中的漏洞可能使攻击者能够访问存储在不安全服务器上的数据。 到目前为止,还没有报道过这种情况,但是专家
警告说 ,这只是时间问题。
Mirai的新版本并没有很快普及-每天只有数万次尝试通过YARN破解Hadoop计算机。 而且,所有攻击都来自少量的IP地址-最多不超过40个。
/ Flickr / 杰琳·莫里斯 / CC BY攻击者的这种行为促使NETSCOUT专家提出病毒不会自动传播的想法-黑客手动扫描Internet并将程序部署到不受保护的计算机上。 这意味着安装了Hadoop的服务器的所有者有更多时间来关闭漏洞。
为了防止受到攻击,
您需要更改网络安全
设置 。 管理员只需限制对计算群集的访问即可-配置IP筛选器或完全关闭外部用户和应用程序的网络。
为了防止对系统的未授权访问,安全专家还建议将Hadoop升级到版本2.x,并通过Kerberos协议启用身份验证。
VAS专家博客的几篇文章:
哈布雷(Habré)博客上的一些新鲜资料: