Почти месяц назад эксперт NewSky Security Акит Анубхав (Ankit Anubhav) заметил новый ботнет, атакующий уязвимые установки Hadoop с неверно настроенным YARN.
Really, Hadoop ?? This #IoT #botnet thing sometimes goes out of control.#SORA guys after using default password and Huawei 17215 router bug, are now trying to use the Hadoop Yarn bug
Our intel API logs https://t.co/o8QDRMR6Sm
Exploit POC https://t.co/x7tIjFOMML pic.twitter.com/AzGDNux0Jc— Ankit Anubhav (@ankit_anubhav) October 1, 2018
Однако если тот ботнет был совсем небольшим и только начинал свою работу, на данный момент специалисты компании Radware обратили внимание на аналогичную, но более зрелую угрозу, которую назвали DemonBot. Сообщается, что ботнет заразил уже более 70 серверов, и его активность лишь продолжает расти.
Специалисты объясняют, что DemonBot атакует установки Hadoop через неверно настроенный модуль YARN (Yet Another Resource Negotiator). Об этой проблеме известно уже несколько лет, а на ExploitDB и GitHub давно опубликованы PoC-эксплоиты.
Дело в том, что при неверной конфигурации YARN атакующий имеет возможность получить доступ к внутреннему API, который оказывается доступен для соединений извне. В итоге злоумышленник может добавить в кластер новое приложение. Так, операторы DemonBot заражают уязвимые серверы малварью для организации DDoS-атак (UDP- и TCP-флуд) .
Эксперты Radware отмечают, что подсчитать точное количество ботов крайне трудно, так как они не занимаются сканированием и эксплуатацией вышеописанных проблем, а значит, почти не создают мусорного трафика, позволяющего их обнаружить. Также специалисты недоумевают, зачем операторы DemonBot используют столь мощные серверы для DDoS-атак, хотя та же установка криптовалютных майнеров определенно была бы куда выгоднее для злоумышленников.
По мнению специалистов Radware, исходный код DemonBot во многом базируется на Owari (одна из многочисленных версий Mirai), однако некоторые отличия в коде и другие улики все же позволяют назвать DemonBot новым ботнетом, который явно создали другие люди. Исследователи обнаружили на Pastebin исходники DemonBot, размещенные кем-то под псевдонимом Self-Rep-NeTiS, дальнейшее расследование также позволило обнаружить исходники C&C-сервера DemonCNC и скрипта Python Build для мультиплатформенных ботов.