新发现的僵尸网络DemonBot

栏目: 编程工具 · 发布时间: 6年前

内容简介:您是否正在使用Hadoop进行数据分析?如果是的话,有必要知道新的僵尸程序正在针对Hadoop集群,利用云基础架构强大的服务器发动DDoS攻击。Hadoop是一个开源分布式处理框架,用于管理在集群系统中运行的大数据应用程序。Radware威胁研究中心正在监控和跟踪一个恶意agent,它利用Hadoop YARN未经身份验证的远程命令执行漏洞感染Hadoop集群,标识为DemonBot。

您是否正在使用Hadoop进行数据分析?如果是的话,有必要知道新的僵尸程序正在针对Hadoop集群,利用云基础架构强大的服务器发动DDoS攻击。Hadoop是一个开源分布式处理框架,用于管理在集群系统中运行的大数据应用程序。

Radware威胁研究中心正在监控和跟踪一个恶意agent,它利用Hadoop YARN未经身份验证的远程命令执行漏洞感染Hadoop集群,标识为DemonBot。

新发现的僵尸网络DemonBot

DemonBot仅通过中央服务器进行传播,并且不会暴露像基于Mirai的bot所呈现的类似蠕虫的行为。目前,Radware正在跟踪70多个活跃的漏洞利用服务器,这些服务器正在积极传播DemonBot,并且正在以每天超过100万次漏洞攻击的速度利用服务器。请注意,虽然我们目前没有找到任何证据表明DemonBot正在积极瞄准物联网设备,但Demonbot不只局限于x86 Hadoop服务器,并与大多数已知的物联网设备兼容,遵循Mirai构建原则。

这不是云基础架构服务器第一次被针对。本月早些时候,安全研究员 Ankit Anubhav 发现一名黑客利用了与Sora僵尸网络变种中相同Hadoop Yarn漏洞。 Hadoop集群通常是非常强大且稳定的平台,与物联网设备相比,可以单独占据更大量的DDoS流。DemonBot支持的DDoS攻击向量是UDP和TCP洪泛。

新发现的僵尸网络DemonBot

一、Hadoop YARN 漏洞利用

Radware Research一直在跟踪利用Hadoop YARN未经身份验证的远程命令执行漏洞的恶意行为者,该漏洞的PoC在今年3月首次发布( here )。YARN是一个资源协商器,是Enterprise Hadoop的先决条件,提供集群资源管理,允许多个数据处理引擎处理存储在单个平台中的数据。YARN公开了一个REST API,允许远程应用程序向集群提交新的应用程序。该漏洞利用需要两个步骤:

新发现的僵尸网络DemonBot

我们的网络记录了/ws/v1/cluster/apps/new-application的重复尝试,从9月25日开始到10月19号,每天都有超过100万次尝试。

新发现的僵尸网络DemonBot

而在本周,发出请求的唯一IP从几台服务器增长到了70多台服务器。

新发现的僵尸网络DemonBot

离线服务器的老漏洞引用了知名的Mirai变种 Owari ,黑客用来保护其命令和控制数据库的密码:

新发现的僵尸网络DemonBot

然而,最近我们发现Owari被一个新bot取代:

新发现的僵尸网络DemonBot

这个新的'bash'二进制文件已于10月21日添加到服务器中。同一台服务器还托管了我们期望从多平台IoT恶意软件中获得的典型 shell 脚本:

新发现的僵尸网络DemonBot

虽然僵尸网络带有Yet-Another-Mirai-Botnet的所有典型指标,但仔细观察二进制文件就会发现不同之处。

二、DemonBot v1 – © Self-Rep-NeTiS

逆向'bash'二进制文件显示了一些不熟悉的函数名和一个非典型字符串,它为僵尸网络代码提供了唯一的指纹:

新发现的僵尸网络DemonBot

通过pastebin档案搜索,很快就发现了一个唯一匹配的文件,该文件于9月29日被一个名为Self-Rep-NeTiS的攻击者粘贴。paste包含僵尸网络的完整源代码,被称为“DemonBot”。通过档案的进一步搜索发现了命令和控制服务器DemonCNC的源代码以及多平台bot的Python build脚本。

DemonBot.c和DemonCNC.c都有相同的签名:

新发现的僵尸网络DemonBot

三、DemonCNC

DemonBot命令和控制服务是一个独立的C程序,在中央命令和控制服务器上运行,它提供两种服务:

·Bot命令和控制监听器服务 – 允许bot从C2注册和监听新命令

·远程访问CLI,允许僵尸网络管理员和潜在的“客户”控制僵尸网络的活动

启动C2服务需要3个参数:bot侦听器端口,线程数和远程访问CLI的端口。

新发现的僵尸网络DemonBot

远程用户的凭证以“用户名 密码”格式存储在纯文本文件“login.txt”中,每个凭证使用一行。

在使用telnet连接到远程访问CLI(演示中设置的端口为8025)后,僵尸网络向我们询问用户名和密码。如果提供的凭证与login.txt文件中的某一行匹配,则授予用户访问bit控制界面的权限。

新发现的僵尸网络DemonBot

HELP命令揭示的僵尸网络命令,将在下面关于DemonBot的部分中讨论。

四、DemonBot

DemonBot是在受感染的服务器上运行的程序,它连接到命令和控制服务器并侦听新命令。

当一个新的DemonBot启动时,它连接到C2服务器(使用IP和端口进行硬编码)。如果没有为C2服务器指定端口,则使用默认端口6982。C2连接是纯文本TCP。

成功连接后,DemonBot将以下列格式将有关受感染设备的信息发送到C2服务器:

新发现的僵尸网络DemonBot

1.Bot_ip

受DemonBot感染的设备或服务器的公共IP地址:

新发现的僵尸网络DemonBot

2.Port 

22或23,取决于设备/服务器上的 pythonperl 以及telnetd:

新发现的僵尸网络DemonBot

3.Build 

“Python设备”,“Perl设备”,“Telnet设备”或“未知”,具体取决于设备服务器上Python或Perl解释器:

新发现的僵尸网络DemonBot

4.Arch

该体系结构在构建时确定,并且取决于受感染平台上的二进制文件。Arch支持的值为:x86_64 | x86_32 | Arm4 | Arm5 | Arm6 | Arm7 | Mips | Mipsel | Sh4(SuperH)| Ppc(PowerPC)| spc(Sparc)| M68k |Arc。

新发现的僵尸网络DemonBot

5.OS

基于程序包安装程序配置文件对运行bot的主机OS进行识别。Value值是“基于Debian的设备”,“基于REHL的设备”或“未知的操作系统”。

新发现的僵尸网络DemonBot

6.恶意载荷

Bot支持以下命令:

新发现的僵尸网络DemonBot

如果在逗号分隔列表中的参数中传递了多个IP,则会为每个IP开启单独的攻击进程。

<spoofit>参数用作网络掩码。如果将spoofit设置为32,则不会掩盖bot的源IP。如果将spoofit设置为小于32的数字,则每个<pollinterval>数据包在bot_ip/<spoofit>网络中生成随机IP:

新发现的僵尸网络DemonBot

STD UDP攻击使用的固定有效载荷:

新发现的僵尸网络DemonBot

IOC

·8805830c7d28707123f96cf458c1aa41  wget

· 1bd637c0444328563c995d6497e2d5be  tftp

· a89f377fcb66b88166987ae1ab82ca61  sshd

· 8b0b5a6ee30def363712e32b0878a7cb  sh

· 86741291adc03a7d6ff3413617db73f5  pftp

· 3e6d58bd8f10a6320185743d6d010c4f  openssh

· fc4a4608009cc24a757824ff56fd8b91  ntpd

· d80d081c40be94937a164c791b660b1f  ftp

· b878de32a9142c19f1fface9a8d588fb  cron

· 46a255e78d6bd3e97456b98aa4ea0228  bash

· 53f6451a939f9f744ab689168cc1e21a  apache2

· 41edaeb0b52c5c7c835c4196d5fd7123  [cpu]


以上所述就是小编给大家介绍的《新发现的僵尸网络DemonBot》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大数据经济

大数据经济

谢文 / 北京联合出版公司·后浪出版公司 / 2016-1 / 32.00元

中国互联网数朝元老、中国的“凯文·凯利”首度深度剖析大数据的大机会 大数据纳入中国国家行动方略,大数据产业起飞在即 陈彤、胡舒立、王巍鼎力推荐 ................... ※编辑推荐※ ★ 雅虎中国前总裁、中国互联网第一预言家——谢文,首部大数据力作。本书作者是中国互联网业第一代创业者,历任和讯网总裁、雅虎中国总裁、一起网CEO,亲身经历中国互联网发展全过......一起来看看 《大数据经济》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具