据外媒SecurityWeek报道,一个最新被发现的僵尸网络正在将Hadoop集群作为其感染目标,试图利用它们的计算能力发动分布式拒绝服务(DDoS)攻击。
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,能够对大量数据进行分布式处理,通常被部署在大型的企业网络或云端运算环境中,可用于创建大数据分析的人工智能或机器学习平台。
据发现该僵尸网络的网络安全公司Radware称,这起僵尸病毒感染活动基于Hadoop YARN(Yet Another Resource Negotiator,Hadoop集群的资源管理系统)中的一个未经身份验证的远程命令执行漏洞,而该漏洞的概念验证(PoC)代码早已在今年3月份发布。
需要说明的是,由于这种被称为“DemonBot”的僵尸病毒不具备蠕虫功能,因此它只会感染中央服务器。尽管如此,目前也已经有超过70台主动攻击服务器(“肉鸡”)正在以每天超过100万次的频率攻击目标系统,并向其传播DemonBot僵尸病毒,而攻击主要集中在是美国、英国及意大利。
在后续调查中,Radware的研究人员发现该僵尸病毒的开发者早在今年9月就已经在源代码在线分享平台PasteBin上公布了它的源代码,还发现了命令与控制(C&C)服务器的代码适用于多平台“肉鸡”的 Python 构建脚本。
C&C服务器提供了两种服务,一种是允许“肉鸡”注册和监听来自服务器的新命令,另一种是远程访问CLI(命令行界面),以便管理员和潜在的“客户”就可以控制整个僵尸网络。远程用户的凭证存储在纯文本文件中。
在执行时,DemonBot僵尸病毒会连接到C&C服务器(硬编码的IP和端口)并开始监听命令。默认情况下,它使用端口6982,而连接是纯文本TCP。
DemonBot僵尸病毒会向C&C服务器发送有关受感染系统的信息,包括公共IP地址、端口号(22或23,这取决于Python或 Perl 的可用性,以及受感染服务器是否开启了telnetd服务)、Python或Perl解释器是否可用、服务器的架构和操作系统。
攻击者可以通过向“肉鸡”发送命令来发动DDoS攻击,比如带有随机有效载荷的UDP、TCP、带有固定有效载荷的UDP,或者依次执行STD攻击、TCP攻击和UDP攻击。另外,攻击者还可以指示“肉鸡”每秒与指定的IP和端口建立TCP连接,直到攻击结束,或者完全停止攻击。
Radware解释说:“如果在参数列表中以逗号分隔的形式一次性传递多个IP,那么每个IP都会有一个单独的攻击进程。另外,攻击者还可以在攻击命令中加入<spoofit>参数,该参数作为网络掩码工作,如果<spoofit>参数设置为小于32,便可以掩盖‘肉鸡’的源IP。”
Radware最后还强调,虽然他们目前还没有找到任何能够证明DemonBot僵尸病毒正在积极瞄准物联网设备的证据,但它的目标绝不仅限于x86 Hadoop服务器,因为研究表明它同样能够在大多数已知的物联网设备上运行。
以上所述就是小编给大家介绍的《新型僵尸网络目标锁定Hadoop服务器,利用“肉鸡”发动DDoS攻击》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 脱缰恶意SDK奴役千万用户手机做“肉鸡”
- 攻防最前线:Linux挖矿木马为“肉鸡”清理恶意软件
- DDoS攻击新趋势:海量移动设备成为新一代肉鸡
- 一次服务器沦陷为肉鸡后的实战排查过程!
- WordPress 主题开发商将客户当肉鸡,向对手发起 DDoS
- 骚操作!WordPress流氓主题利用户服务器做肉鸡发动DDos攻击
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。