据外媒 SecurityWeek 报道, 一个最新被发现的僵尸网络正在将 Hadoop 集群作为其感染目标, 试图利用它们的计算能力发动分布式拒绝服务 (DDoS) 攻击.
Hadoop 是一个由 Apache 基金会所开发的分布式系统基础架构, 能够对大量数据进行分布式处理, 通常被部署在大型的企业网络或云端运算环境中, 可用于创建大数据分析的人工智能或机器学习平台.
据发现该僵尸网络的网络安全公司 Radware 称, 这起僵尸病毒感染活动基于 Hadoop YARN(Yet Another Resource Negotiator,Hadoop 集群的资源管理系统)中的一个未经身份验证的远程命令执行漏洞, 而该漏洞的概念验证 (PoC) 代码早已在今年 3 月份发布.
需要说明的是, 由于这种被称为 "DemonBot" 的僵尸病毒不具备蠕虫功能, 因此它只会感染中央服务器. 尽管如此, 目前也已经有超过 70 台主动攻击服务器 ("肉鸡") 正在以每天超过 100 万次的频率攻击目标系统, 并向其传播 DemonBot 僵尸病毒, 而攻击主要集中在是美国, 英国及意大利.
在后续调查中, Radware 的研究人员发现该僵尸病毒的开发者早在今年 9 月就已经在源代码在线分享平台 PasteBin 上公布了它的源代码, 还发现了命令与控制 (C&C) 服务器的代码适用于多平台 "肉鸡" 的 Python 构建脚本.
C&C 服务器提供了两种服务, 一种是允许 "肉鸡" 注册和监听来自服务器的新命令, 另一种是远程访问 CLI(命令行界面), 以便管理员和潜在的 "客户" 就可以控制整个僵尸网络. 远程用户的凭证存储在纯文本文件中.
在执行时, DemonBot 僵尸病毒会连接到 C&C 服务器 (硬编码的 IP 和端口) 并开始监听命令. 默认情况下, 它使用端口 6982, 而连接是纯文本 TCP.
DemonBot 僵尸病毒会向 C&C 服务器发送有关受感染系统的信息, 包括公共 IP 地址, 端口号(22 或 23, 这取决于 Python 或 Perl 的可用性, 以及受感染服务器是否开启了 telnetd 服务),Python 或 Perl 解释器是否可用, 服务器的架构和操作系统.
攻击者可以通过向 "肉鸡" 发送命令来发动 DDoS 攻击, 比如带有随机有效载荷的 UDP,TCP, 带有固定有效载荷的 UDP, 或者依次执行 STD 攻击, TCP 攻击和 UDP 攻击. 另外, 攻击者还可以指示 "肉鸡" 每秒与指定的 IP 和端口建立 TCP 连接, 直到攻击结束, 或者完全停止攻击.
Radware 解释说:"如果在参数列表中以逗号分隔的形式一次性传递多个 IP, 那么每个 IP 都会有一个单独的攻击进程. 另外, 攻击者还可以在攻击命令中加入 < spoofit > 参数, 该参数作为网络掩码工作, 如果 < spoofit > 参数设置为小于 32, 便可以掩盖'肉鸡'的源 IP."
Radware 最后还强调, 虽然他们目前还没有找到任何能够证明 DemonBot 僵尸病毒正在积极瞄准物联网设备的证据, 但它的目标绝不仅限于 x86 Hadoop 服务器, 因为研究表明它同样能够在大多数已知的物联网设备上运行.
来源: http://server.51cto.com/sOS-586009.htm