新型DemonBot僵尸网络目标锁定Hadoop服务器 对第三方发起DDoS攻击

网络安全公司Radware的研究人员发现了一个名为DemonBot的新型僵尸网络,它针对Hadoop集群,对第三方发起DDoS攻击。

黑客利用DemonBot僵尸网络瞄准的目标是Hadoop YARN(Yet Another Resource Negotiator,Hadoop集群的资源管理系统)中未经身份验证的远程执行命令。

DemonBot bot仅感染中央服务器, 尽管如此,研究人员也已发现70多台主动攻击的服务器(“肉鸡”)正以每天超过100万次的频率攻击目标系统,并向其传播DemonBot僵尸病毒。

Radware的安全专家称,“虽然我们目前没有找到任何证据表明DemonBot正积极瞄准物联网设备,但Demonbot遵循Mirai构建原则,并不局限于x86 Hadoop服务器,能够在大多数已知的物联网设备上运行。”

研究人员发现,Demonbot的开发者实际上已于9月底在Pastebin上公布了该僵尸病毒的源代码。内容包含命令和控制服务器DemonCNC的源代码以及适用于多平台“肉鸡”的Python构建脚本。

DemonBot C&C服务器提供两种服务:

一是允许该僵尸网络注册并监听来自服务器的新命令;

二是远程访问CLI,允许管理员和潜在的“访客”控制该僵尸网络。

DemonBot启动时,以纯文本TCP方式连接到C&C服务器(硬编码的IP和端口,默认端口6982)。

DemonBot首先收集受感染系统的信息,包括IP地址,端口号(22或23,取决于Python或Perl的可用性以及受感染服务器是否开启了telnetd服务),然后发送到C&C服务器。

攻击者可以向该僵尸网络发送以下命令:

该命令还包含一个用作网络掩码的<spoofit>参数,如果将<spoofit>参数设置为小于32,便可以隐藏该僵尸网络的源IP。

原文链接:https://securityaffairs.co/wordpress/77485/malware/demonbot-botnet-targets-hadoop.htm

上一篇:PoC验证 Microsoft Office和伪装YouTube链接传播恶意软件

下一篇:UWP API被爆安全漏洞:可在用户不知情下窃取任意数据