新型僵尸网络目标锁定Hadoop服务器，利用“肉鸡”发动DDoS攻击

据外媒SecurityWeek报道，一个最新被发现的僵尸网络正在将Hadoop集群作为其感染目标，试图利用它们的计算能力发动分布式拒绝服务(DDoS)攻击。

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，能够对大量数据进行分布式处理，通常被部署在大型的企业网络或云端运算环境中，可用于创建大数据分析的人工智能或机器学习平台。

据发现该僵尸网络的网络安全公司Radware称，这起僵尸病毒感染活动基于Hadoop YARN（Yet Another Resource Negotiator，Hadoop集群的资源管理系统）中的一个未经身份验证的远程命令执行漏洞，而该漏洞的概念验证（PoC）代码早已在今年3月份发布。

需要说明的是，由于这种被称为“DemonBot”的僵尸病毒不具备蠕虫功能，因此它只会感染中央服务器。尽管如此，目前也已经有超过70台主动攻击服务器（“肉鸡”）正在以每天超过100万次的频率攻击目标系统，并向其传播DemonBot僵尸病毒，而攻击主要集中在是美国、英国及意大利。

在后续调查中，Radware的研究人员发现该僵尸病毒的开发者早在今年9月就已经在源代码在线分享平台PasteBin上公布了它的源代码，还发现了命令与控制（C&C）服务器的代码适用于多平台“肉鸡”的 Python 构建脚本。

C&C服务器提供了两种服务，一种是允许“肉鸡”注册和监听来自服务器的新命令，另一种是远程访问CLI（命令行界面），以便管理员和潜在的“客户”就可以控制整个僵尸网络。远程用户的凭证存储在纯文本文件中。

在执行时，DemonBot僵尸病毒会连接到C&C服务器（硬编码的IP和端口）并开始监听命令。默认情况下，它使用端口6982，而连接是纯文本TCP。

DemonBot僵尸病毒会向C&C服务器发送有关受感染系统的信息，包括公共IP地址、端口号（22或23，这取决于Python或 Perl 的可用性，以及受感染服务器是否开启了telnetd服务）、Python或Perl解释器是否可用、服务器的架构和操作系统。

攻击者可以通过向“肉鸡”发送命令来发动DDoS攻击，比如带有随机有效载荷的UDP、TCP、带有固定有效载荷的UDP，或者依次执行STD攻击、TCP攻击和UDP攻击。另外，攻击者还可以指示“肉鸡”每秒与指定的IP和端口建立TCP连接，直到攻击结束，或者完全停止攻击。

Radware解释说：“如果在参数列表中以逗号分隔的形式一次性传递多个IP，那么每个IP都会有一个单独的攻击进程。另外，攻击者还可以在攻击命令中加入<spoofit>参数，该参数作为网络掩码工作，如果<spoofit>参数设置为小于32，便可以掩盖‘肉鸡’的源IP。”

Radware最后还强调，虽然他们目前还没有找到任何能够证明DemonBot僵尸病毒正在积极瞄准物联网设备的证据，但它的目标绝不仅限于x86 Hadoop服务器，因为研究表明它同样能够在大多数已知的物联网设备上运行。