导读 | 近年数度感染数十万台路由器的僵尸网络程序Mirai,虽然原创者已经落网判刑,但是Mirai余孽却在网络上持续变种,现在安全人员发现,Mirai已经将焦点转向Linux服务器了。 |
安全公司Netcout的诱捕系统10月间侦测到网络上有多个IP对Hadoop YARN资源管理服务器的程序码注入漏洞发动攻击,经过解析,发现其中有少部份竟是来自Mirai变种。这让研究人员大吃一惊,因为过去Mirai一向锁定连网摄影机或家用路由器等物联网(IoT)设备。虽然Mirai也曾被发现攻击Windows设备,但这是研究团队第一次发现非以IoT设备为目标的Mirai变种。研究人员称之为VPNFilter。
研究人员Matthew Bing指出,VPNFilter和纯IoT的Mirai多所不同。首先,以前的Mirai变种会猜测受害装置是哪种架构—x86、x64、ARM、MIPS、ARC—再下载相应的执行档。但VPNFilter却假定Hadoop YARN服务是跑在市售x86 Linux服务器。
即使Hadoop YARN服务器并未跑telnet服务,但是VPNFilter还是会通过telnet暴力破解设备的预设用户名称和密码。此外,当它发现有漏洞的目标设备,并不像以前直接安装、扩散恶意程序,而是会将目标的IP位置、用户名称和密码回报外部服务器,再由少数的攻击者自动安装僵尸程序。
研究人员表示,这显示了Mirai变种作者攻击策略的一大转变,因为位于资料中心内的Linux服务器能比IoT设备享有更大频宽,能更有效发动分布式阻断服务(DDoS)攻击。只要感染几台Linux服务器,效果就超过为数众多的IoT设备还要好。
Hadoop YARN的指令注入漏洞可允许外部骇客执行任意壳程序指令,目前没有修补程序,被列为高严重程度。但上周安全公司Radware首先发现已经有名为DemonBot DDoS的僵尸程序开始出现。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/122508.html