据外媒SecurityWeek报道,一个最新被发现的僵尸网络正在将Hadoop集群作为其感染目标,试图利用它们的计算能力发动分布式拒绝服务(DDoS)攻击。
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,能够对大量数据进行分布式处理,通常被部署在大型的企业网络或云端运算环境中,可用于创建大数据分析的人工智能或机器学习平台。
据发现该僵尸网络的网络安全公司Radware称,这起僵尸病毒感染活动基于Hadoop YARN(Yet Another Resource Negotiator,Hadoop集群的资源管理系统)中的一个未经身份验证的远程命令执行漏洞,而该漏洞的概念验证(PoC)代码早已在今年3月份发布。
需要说明的是,由于这种被称为“DemonBot”的僵尸病毒不具备蠕虫功能,因此它只会感染中央服务器。尽管如此,目前也已经有超过70台主动攻击服务器(“肉鸡”)正在以每天超过100万次的频率攻击目标系统,并向其传播DemonBot僵尸病毒,而攻击主要集中在是美国、英国及意大利。
在后续调查中,Radware的研究人员发现该僵尸病毒的开发者早在今年9月就已经在源代码在线分享平台PasteBin上公布了它的源代码,还发现了命令与控制(C&C)服务器的代码适用于多平台“肉鸡”的Python构建脚本。
C&C服务器提供了两种服务,一种是允许“肉鸡”注册和监听来自服务器的新命令,另一种是远程访问CLI(命令行界面),以便管理员和潜在的“客户”就可以控制整个僵尸网络。远程用户的凭证存储在纯文本文件中。
在执行时,DemonBot僵尸病毒会连接到C&C服务器(硬编码的IP和端口)并开始监听命令。默认情况下,它使用端口6982,而连接是纯文本TCP。
DemonBot僵尸病毒会向C&C服务器发送有关受感染系统的信息,包括公共IP地址、端口号(22或23,这取决于Python或Perl的可用性,以及受感染服务器是否开启了telnetd服务)、Python或Perl解释器是否可用、服务器的架构和操作系统。
攻击者可以通过向“肉鸡”发送命令来发动DDoS攻击,比如带有随机有效载荷的UDP、TCP、带有固定有效载荷的UDP,或者依次执行STD攻击、TCP攻击和UDP攻击。另外,攻击者还可以指示“肉鸡”每秒与指定的IP和端口建立TCP连接,直到攻击结束,或者完全停止攻击。
Radware解释说:“如果在参数列表中以逗号分隔的形式一次性传递多个IP,那么每个IP都会有一个单独的攻击进程。另外,攻击者还可以在攻击命令中加入<spoofit>参数,该参数作为网络掩码工作,如果<spoofit>参数设置为小于32,便可以掩盖‘肉鸡’的源IP。”
Radware最后还强调,虽然他们目前还没有找到任何能够证明DemonBot僵尸病毒正在积极瞄准物联网设备的证据,但它的目标绝不仅限于x86 Hadoop服务器,因为研究表明它同样能够在大多数已知的物联网设备上运行。
