新发现的僵尸网络DemonBot

栏目: 编程工具 · 发布时间: 6年前

内容简介:您是否正在使用Hadoop进行数据分析?如果是的话,有必要知道新的僵尸程序正在针对Hadoop集群,利用云基础架构强大的服务器发动DDoS攻击。Hadoop是一个开源分布式处理框架,用于管理在集群系统中运行的大数据应用程序。Radware威胁研究中心正在监控和跟踪一个恶意agent,它利用Hadoop YARN未经身份验证的远程命令执行漏洞感染Hadoop集群,标识为DemonBot。

您是否正在使用Hadoop进行数据分析?如果是的话,有必要知道新的僵尸程序正在针对Hadoop集群,利用云基础架构强大的服务器发动DDoS攻击。Hadoop是一个开源分布式处理框架,用于管理在集群系统中运行的大数据应用程序。

Radware威胁研究中心正在监控和跟踪一个恶意agent,它利用Hadoop YARN未经身份验证的远程命令执行漏洞感染Hadoop集群,标识为DemonBot。

新发现的僵尸网络DemonBot

DemonBot仅通过中央服务器进行传播,并且不会暴露像基于Mirai的bot所呈现的类似蠕虫的行为。目前,Radware正在跟踪70多个活跃的漏洞利用服务器,这些服务器正在积极传播DemonBot,并且正在以每天超过100万次漏洞攻击的速度利用服务器。请注意,虽然我们目前没有找到任何证据表明DemonBot正在积极瞄准物联网设备,但Demonbot不只局限于x86 Hadoop服务器,并与大多数已知的物联网设备兼容,遵循Mirai构建原则。

这不是云基础架构服务器第一次被针对。本月早些时候,安全研究员 Ankit Anubhav 发现一名黑客利用了与Sora僵尸网络变种中相同Hadoop Yarn漏洞。 Hadoop集群通常是非常强大且稳定的平台,与物联网设备相比,可以单独占据更大量的DDoS流。DemonBot支持的DDoS攻击向量是UDP和TCP洪泛。

新发现的僵尸网络DemonBot

一、Hadoop YARN 漏洞利用

Radware Research一直在跟踪利用Hadoop YARN未经身份验证的远程命令执行漏洞的恶意行为者,该漏洞的PoC在今年3月首次发布( here )。YARN是一个资源协商器,是Enterprise Hadoop的先决条件,提供集群资源管理,允许多个数据处理引擎处理存储在单个平台中的数据。YARN公开了一个REST API,允许远程应用程序向集群提交新的应用程序。该漏洞利用需要两个步骤:

新发现的僵尸网络DemonBot

我们的网络记录了/ws/v1/cluster/apps/new-application的重复尝试,从9月25日开始到10月19号,每天都有超过100万次尝试。

新发现的僵尸网络DemonBot

而在本周,发出请求的唯一IP从几台服务器增长到了70多台服务器。

新发现的僵尸网络DemonBot

离线服务器的老漏洞引用了知名的Mirai变种 Owari ,黑客用来保护其命令和控制数据库的密码:

新发现的僵尸网络DemonBot

然而,最近我们发现Owari被一个新bot取代:

新发现的僵尸网络DemonBot

这个新的'bash'二进制文件已于10月21日添加到服务器中。同一台服务器还托管了我们期望从多平台IoT恶意软件中获得的典型 shell 脚本:

新发现的僵尸网络DemonBot

虽然僵尸网络带有Yet-Another-Mirai-Botnet的所有典型指标,但仔细观察二进制文件就会发现不同之处。

二、DemonBot v1 – © Self-Rep-NeTiS

逆向'bash'二进制文件显示了一些不熟悉的函数名和一个非典型字符串,它为僵尸网络代码提供了唯一的指纹:

新发现的僵尸网络DemonBot

通过pastebin档案搜索,很快就发现了一个唯一匹配的文件,该文件于9月29日被一个名为Self-Rep-NeTiS的攻击者粘贴。paste包含僵尸网络的完整源代码,被称为“DemonBot”。通过档案的进一步搜索发现了命令和控制服务器DemonCNC的源代码以及多平台bot的Python build脚本。

DemonBot.c和DemonCNC.c都有相同的签名:

新发现的僵尸网络DemonBot

三、DemonCNC

DemonBot命令和控制服务是一个独立的C程序,在中央命令和控制服务器上运行,它提供两种服务:

·Bot命令和控制监听器服务 – 允许bot从C2注册和监听新命令

·远程访问CLI,允许僵尸网络管理员和潜在的“客户”控制僵尸网络的活动

启动C2服务需要3个参数:bot侦听器端口,线程数和远程访问CLI的端口。

新发现的僵尸网络DemonBot

远程用户的凭证以“用户名 密码”格式存储在纯文本文件“login.txt”中,每个凭证使用一行。

在使用telnet连接到远程访问CLI(演示中设置的端口为8025)后,僵尸网络向我们询问用户名和密码。如果提供的凭证与login.txt文件中的某一行匹配,则授予用户访问bit控制界面的权限。

新发现的僵尸网络DemonBot

HELP命令揭示的僵尸网络命令,将在下面关于DemonBot的部分中讨论。

四、DemonBot

DemonBot是在受感染的服务器上运行的程序,它连接到命令和控制服务器并侦听新命令。

当一个新的DemonBot启动时,它连接到C2服务器(使用IP和端口进行硬编码)。如果没有为C2服务器指定端口,则使用默认端口6982。C2连接是纯文本TCP。

成功连接后,DemonBot将以下列格式将有关受感染设备的信息发送到C2服务器:

新发现的僵尸网络DemonBot

1.Bot_ip

受DemonBot感染的设备或服务器的公共IP地址:

新发现的僵尸网络DemonBot

2.Port 

22或23,取决于设备/服务器上的 pythonperl 以及telnetd:

新发现的僵尸网络DemonBot

3.Build 

“Python设备”,“Perl设备”,“Telnet设备”或“未知”,具体取决于设备服务器上Python或Perl解释器:

新发现的僵尸网络DemonBot

4.Arch

该体系结构在构建时确定,并且取决于受感染平台上的二进制文件。Arch支持的值为:x86_64 | x86_32 | Arm4 | Arm5 | Arm6 | Arm7 | Mips | Mipsel | Sh4(SuperH)| Ppc(PowerPC)| spc(Sparc)| M68k |Arc。

新发现的僵尸网络DemonBot

5.OS

基于程序包安装程序配置文件对运行bot的主机OS进行识别。Value值是“基于Debian的设备”,“基于REHL的设备”或“未知的操作系统”。

新发现的僵尸网络DemonBot

6.恶意载荷

Bot支持以下命令:

新发现的僵尸网络DemonBot

如果在逗号分隔列表中的参数中传递了多个IP,则会为每个IP开启单独的攻击进程。

<spoofit>参数用作网络掩码。如果将spoofit设置为32,则不会掩盖bot的源IP。如果将spoofit设置为小于32的数字,则每个<pollinterval>数据包在bot_ip/<spoofit>网络中生成随机IP:

新发现的僵尸网络DemonBot

STD UDP攻击使用的固定有效载荷:

新发现的僵尸网络DemonBot

IOC

·8805830c7d28707123f96cf458c1aa41  wget

· 1bd637c0444328563c995d6497e2d5be  tftp

· a89f377fcb66b88166987ae1ab82ca61  sshd

· 8b0b5a6ee30def363712e32b0878a7cb  sh

· 86741291adc03a7d6ff3413617db73f5  pftp

· 3e6d58bd8f10a6320185743d6d010c4f  openssh

· fc4a4608009cc24a757824ff56fd8b91  ntpd

· d80d081c40be94937a164c791b660b1f  ftp

· b878de32a9142c19f1fface9a8d588fb  cron

· 46a255e78d6bd3e97456b98aa4ea0228  bash

· 53f6451a939f9f744ab689168cc1e21a  apache2

· 41edaeb0b52c5c7c835c4196d5fd7123  [cpu]


以上所述就是小编给大家介绍的《新发现的僵尸网络DemonBot》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Cyberwar

Cyberwar

Kathleen Hall Jamieson / Oxford University Press / 2018-10-3 / USD 16.96

The question of how Donald Trump won the 2016 election looms over his presidency. In particular, were the 78,000 voters who gave him an Electoral College victory affected by the Russian trolls and hac......一起来看看 《Cyberwar》 这本书的介绍吧!

html转js在线工具
html转js在线工具

html转js在线工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具