新型DDoS僵尸网络目标锁定Hadoop企业服务器

时间 : 2018-10-31 编辑 : DNS.COM 分享 : 

您是否正在使用Hadoop进行数据分析?如果是这样,请知道新的僵尸程序正在针对Hadoop集群,目的是执行受云基础架构服务器强大支持的DDoS攻击。Hadoop是一个开源分布式处理基础框架,用于管理在集群系统中运行的大数据应用程序的存储和数据处理。


黑客组针对错误配置的Hadoop YARN(Yet Another Resource Negotiator,是Apache Hadoop数据处理框架的核心组件,通常用于大型企业网络或云计算环境)中一个未经身份验证的远程命令执行漏洞,以在资源丰富的服务器上植入DemonBot DDoS恶意软件感染Hadoop集群。

1

一旦僵尸网络找到可能的受害者,僵尸网络名为DemonBot的僵尸网络就会试图利用YARN错误配置在易受攻击的Hadoop系统上安装“僵尸”进程。


DemonBot仅通过中央服务器进行传播,并且不会暴露基于Mirai的机器人所呈现的类似蠕虫的行为。25日Radware发出威胁警报,称正在跟踪70多个活跃的漏洞利用服务器,这些服务器正在积极传播DemonBot发出请求的唯一IP数量从几台服务器增长到70多台服务器,并且正在以每天超过100万次漏洞攻击的速度利用服务器。

而攻击主要集中在是美国、英国及意大利。

1

“通过使我们的设备与我们的其他设备连接和通信,物联网革命具有巨大的增强和改善日常生活的潜力。”美国NTT通信全球IP网络执行副总裁Michael Wheeler说。“促进物联网的关键是创建一个网络基础,使这些应用和服务能够以安全可靠的方式运行。”


目前没有找到任何证据表明DemonBot正在积极瞄准物联网设备,但Demonbot不仅限于x86 Hadoop服务器,并且与大多数已知的物联网设备二进制兼容,遵循Mirai构建原则。


虽然僵尸网络的僵尸网络总数仍然未知,但还有另一个重要的谜团仍有待解决。为什么这个僵尸网络会感染资源丰富的服务器,比如Hadoop和DDoS机器人,而不是部署加密货币挖掘恶意软件?毫无疑问,这会产生更多的利润,而且比发布破坏性和头脑转向的DDoS攻击更少的法律问题。


所有迹象都表明这个僵尸网络是“skids”的工作,这个术语是网络安全专家用来描述恶意软件作者的,这些作者使用易于使用的脚本,糟糕的操作安全性或者没有他们想要实现的长期计划来拼凑僵尸网络或恶意软件。


这不是第一次针对云基础架构服务器。10月早些时候,NewSky Security的安全研究员Ankit Anubhav在推特上说这个僵尸网络似乎与Sora僵尸网络的创建者有联系,他们还负责创建多个其他僵尸网络,例如Owari、Wicked 、Omni、Anarchy和其他人,也都用于DDoS攻击。

1

Hadoop集群通常是非常强大且稳定的平台,与物联网设备相比,可以单独占据更大量的DDoS流量。DemonBot支持的DDoS攻击向量是UDP和TCP泛洪。


至于服务器如何被感染,Anubhav和Geenens都指出了同样的问题--Hadoop的YARN组件中的错误配置至少已知两年。


根据ExploitDB和GitHub上发布的概念验证代码,攻击者似乎访问了一个暴露于外部连接的内部YARN API。该漏洞使用API在Hadoop服务器集群内部署和运行自定义YARN应用程序 - 在DemonBot的案例中,这是一个支持DDoS的恶意软件应变程序。


这个漏洞在过去几个月中非常流行,也被多功能Xbash恶意软件使用。当下,Hadoop服务器管理员应该尽快审查YARN配置,以确保他们不会自己动手。


来源:https://www.zdnet.com/article/new-ddos-botnet-goes-after-hadoop-enterprise-servers/