新型DemonBot僵尸網絡目標鎖定Hadoop服務器 對第三方發起DDoS攻擊
責編:gltian |2018-10-31 13:46:20網絡安全公司Radware的研究人員發現了一個名為DemonBot的新型僵尸網絡,它針對Hadoop集群,對第三方發起DDoS攻擊。
黑客利用DemonBot僵尸網絡瞄準的目標是Hadoop YARN(Yet Another Resource Negotiator,Hadoop集群的資源管理系統)中未經身份驗證的遠程執行命令。
DemonBot bot僅感染中央服務器, 盡管如此,研究人員也已發現70多臺主動攻擊的服務器(“肉雞”)正以每天超過100萬次的頻率攻擊目標系統,并向其傳播DemonBot僵尸病毒。
Radware的安全專家稱,“雖然我們目前沒有找到任何證據表明DemonBot正積極瞄準物聯網設備,但Demonbot遵循Mirai構建原則,并不局限于x86 Hadoop服務器,能夠在大多數已知的物聯網設備上運行。”
研究人員發現,Demonbot的開發者實際上已于9月底在Pastebin上公布了該僵尸病毒的源代碼。內容包含命令和控制服務器DemonCNC的源代碼以及適用于多平臺“肉雞”的Python構建腳本。
DemonBot C&C服務器提供兩種服務:
一是允許該僵尸網絡注冊并監聽來自服務器的新命令;
二是遠程訪問CLI,允許管理員和潛在的“訪客”控制該僵尸網絡。
DemonBot啟動時,以純文本TCP方式連接到C&C服務器(硬編碼的IP和端口,默認端口6982)。
DemonBot首先收集受感染系統的信息,包括IP地址,端口號(22或23,取決于Python或Perl的可用性以及受感染服務器是否開啟了telnetd服務),然后發送到C&C服務器。
攻擊者可以向該僵尸網絡發送以下命令:
該命令還包含一個用作網絡掩碼的<spoofit>參數,如果將<spoofit>參數設置為小于32,便可以隱藏該僵尸網絡的源IP。