新發現的殭屍網路DemonBot

您是否正在使用Hadoop進行數據分析？如果是的話，有必要知道新的殭屍程序正在針對Hadoop集群，利用雲基礎架構強大的伺服器發動DDoS攻擊。Hadoop是一個開源分散式處理框架，用於管理在集群系統中運行的大數據應用程序。

Radware威脅研究中心正在監控和跟蹤一個惡意agent，它利用Hadoop YARN未經身份驗證的遠程命令執行漏洞感染Hadoop集群，標識為DemonBot。

DemonBot僅通過中央伺服器進行傳播，並且不會暴露像基於Mirai的bot所呈現的類似蠕蟲的行為。目前，Radware正在跟蹤70多個活躍的漏洞利用伺服器，這些伺服器正在積極傳播DemonBot，並且正在以每天超過100萬次漏洞攻擊的速度利用伺服器。請注意，雖然我們目前沒有找到任何證據表明DemonBot正在積極瞄準物聯網設備，但Demonbot不只局限於x86 Hadoop伺服器，並與大多數已知的物聯網設備兼容，遵循Mirai構建原則。

這不是雲基礎架構伺服器第一次被針對。本月早些時候，安全研究員Ankit Anubhav發現一名黑客利用了與Sora殭屍網路變種中相同Hadoop Yarn漏洞。 Hadoop集群通常是非常強大且穩定的平台，與物聯網設備相比，可以單獨佔據更大量的DDoS流。DemonBot支持的DDoS攻擊向量是UDP和TCP洪泛。

一、Hadoop YARN 漏洞利用

Radware Research一直在跟蹤利用Hadoop YARN未經身份驗證的遠程命令執行漏洞的惡意行為者，該漏洞的PoC在今年3月首次發布(here)。YARN是一個資源協商器，是Enterprise Hadoop的先決條件，提供集群資源管理，允許多個數據處理引擎處理存儲在單個平台中的數據。YARN公開了一個REST API，允許遠程應用程序向集群提交新的應用程序。該漏洞利用需要兩個步驟：

我們的網路記錄了/ws/v1/cluster/apps/new-application的重複嘗試，從9月25日開始到10月19號，每天都有超過100萬次嘗試。

而在本周，發出請求的唯一IP從幾台伺服器增長到了70多台伺服器。

離線伺服器的老漏洞引用了知名的Mirai變種Owari，黑客用來保護其命令和控制資料庫的密碼：

然而，最近我們發現Owari被一個新bot取代：

這個新的"bash"二進位文件已於10月21日添加到伺服器中。同一台伺服器還託管了我們期望從多平台IoT惡意軟體中獲得的典型shell腳本：

雖然殭屍網路帶有Yet-Another-Mirai-Botnet的所有典型指標，但仔細觀察二進位文件就會發現不同之處。

二、DemonBot v1 – Self-Rep-NeTiS

逆向"bash"二進位文件顯示了一些不熟悉的函數名和一個非典型字元串，它為殭屍網路代碼提供了唯一的指紋：

通過pastebin檔案搜索，很快就發現了一個唯一匹配的文件，該文件於9月29日被一個名為Self-Rep-NeTiS的攻擊者粘貼。paste包含殭屍網路的完整源代碼，被稱為「DemonBot」。通過檔案的進一步搜索發現了命令和控制伺服器DemonCNC的源代碼以及多平台bot的Python build腳本。

DemonBot.c和DemonCNC.c都有相同的簽名：

三、DemonCNC

DemonBot命令和控制服務是一個獨立的C程序，在中央命令和控制伺服器上運行，它提供兩種服務：

·Bot命令和控制監聽器服務 - 允許bot從C2註冊和監聽新命令

·遠程訪問CLI，允許殭屍網路管理員和潛在的「客戶」控制殭屍網路的活動

啟動C2服務需要3個參數：bot偵聽器埠，線程數和遠程訪問CLI的埠。

遠程用戶的憑證以「用戶名 密碼」格式存儲在純文本文件「login.txt」中，每個憑證使用一行。

在使用telnet連接到遠程訪問CLI（演示中設置的埠為8025）後，殭屍網路向我們詢問用戶名和密碼。如果提供的憑證與login.txt文件中的某一行匹配，則授予用戶訪問bit控制界面的許可權。

HELP命令揭示的殭屍網路命令，將在下面關於DemonBot的部分中討論。

四、DemonBot

DemonBot是在受感染的伺服器上運行的程序，它連接到命令和控制伺服器並偵聽新命令。

當一個新的DemonBot啟動時，它連接到C2伺服器（使用IP和埠進行硬編碼）。如果沒有為C2伺服器指定埠，則使用默認埠6982。C2連接是純文本TCP。

成功連接後，DemonBot將以下列格式將有關受感染設備的信息發送到C2伺服器：

1.Bot_ip

受DemonBot感染的設備或伺服器的公共IP地址：

2.Port

22或23，取決於設備/伺服器上的python或perl以及telnetd：

3.Build

「Python設備」，「Perl設備」，「Telnet設備」或「未知」，具體取決於設備伺服器上Python或Perl解釋器：

4.Arch

該體系結構在構建時確定，並且取決於受感染平台上的二進位文件。Arch支持的值為：x86_64 | x86_32 | Arm4 | Arm5 | Arm6 | Arm7 | Mips | Mipsel | Sh4（SuperH）| Ppc（PowerPC）| spc（Sparc）| M68k |Arc。

5.OS

基於程序包安裝程序配置文件對運行bot的主機OS進行識別。Value值是「基於Debian的設備」，「基於REHL的設備」或「未知的操作系統」。

6.惡意載荷

Bot支持以下命令：

如果在逗號分隔列表中的參數中傳遞了多個IP，則會為每個IP開啟單獨的攻擊進程。

參數用作網路掩碼。如果將spoofit設置為32，則不會掩蓋bot的源IP。如果將spoofit設置為小於32的數字，則每個

數據包在bot_ip/網路中生成隨機IP：

STD UDP攻擊使用的固定有效載荷：

IOC

·8805830c7d28707123f96cf458c1aa41 wget

·1bd637c0444328563c995d6497e2d5be tftp

·a89f377fcb66b88166987ae1ab82ca61 sshd

·8b0b5a6ee30def363712e32b0878a7cb sh

·86741291adc03a7d6ff3413617db73f5 pftp

·3e6d58bd8f10a6320185743d6d010c4f openssh

·fc4a4608009cc24a757824ff56fd8b91 ntpd

·d80d081c40be94937a164c791b660b1f ftp

·b878de32a9142c19f1fface9a8d588fb cron

·46a255e78d6bd3e97456b98aa4ea0228 bash

·53f6451a939f9f744ab689168cc1e21a apache2

·41edaeb0b52c5c7c835c4196d5fd7123 [cpu]

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！