Nul
Voor bijna een maand, een nieuw botnet is langzaam groeiend in de schaduw, feesten op onbeveiligde Apache Hadoop-servers, en het planten van bots op kwetsbare servers worden gebruikt voor toekomstige DDoS-aanvallen.
Voor het eerst gespot in honeypot gegevens door een NewSky Security-onderzoeker terwijl het nog in de kinderschoenen, het botnet heeft gerijpt en uitgebreid in de tussentijd.
Hoewel in eerste instantie, het botnet bestond uit een paar command en control-servers in een bedreiging alert verstuurd vandaag door cyber-security bedrijf Radware, het bedrijf zegt dat het botnet is nu uitgegroeid tot een aantal van meer dan 70 servers.
De rol van deze servers scannen het internet voor Hadoop-installaties die gebruik maken van een verkeerd geconfigureerde GAREN module.
GAREN, die staat voor Nog een Andere Bron Onderhandelaar is, is een belangrijke component van de Apache Hadoop data processing framework, vaak gebruikt in grote enterprise netwerken en cloud computing-omgevingen.
Zodra het botnet vindt een mogelijk slachtoffer, de botnet, dat Radware met de naam DemonBot, probeert te profiteren van een GAREN met een verkeerde instelling aan de installatie van een “bot” – proces op de kwetsbare Hadoop-systeem.
Radware zegt DemonBot is enorm gegroeid in de afgelopen maand, op dit moment probeert meer dan 1 miljoen GAREN exploits per dag.
Afbeelding: Radware
“Helaas, we hebben geen rekenen op daadwerkelijke bots [geïnfecteerd Hadoop servers],” Pascal Geenens, cybersecurity evangelist bij Radware, vertelde ZDNet in een interview. “Bots zijn niet aan het zoeken en benutten, zodat ze niet het genereren van ruis [verkeer] die we kunnen detecteren en in kaart te brengen.”
Maar terwijl het botnet totale botnet aantal blijft onbekend, er is ook een andere grote mysterie dat nog moet worden opgelost. Waarom dit botnet infecteren resource-rijke servers zoals Hadoop met DDoS-bots in plaats van het implementeren van cryptocurrency-mijnbouw-malware, die zou, zonder twijfel, het genereren van veel meer winst en minder juridische problemen dan de lancering van destructieve en hoofd te draaien DDoS-aanvallen.
Alle tekenen wijzen op dit botnet wordt het werk van ‘skids’, een term die wordt gebruikt door cyber-security-experts te beschrijven auteurs van malware die kasseien van botnets of malware soorten met behulp van gemakkelijk verkrijgbare scripts, slechte operationele veiligheid, of zonder een lange termijn plan van wat ze willen bereiken.
Dit is precies wat er lijkt te zijn gebeurd, volgens NewSky Veiligheid van de o / o Anubhav, die twitterde eerder deze maand dat dit botnet lijkt te hebben banden met makers van de Sora-botnet, die waren ook verantwoordelijk voor het creëren van meerdere andere botnets, zoals Owari, Goddelozen, Omni, Anarchie, en anderen, allen gebruikt voor DDoS-aanvallen.
Hoe de servers zijn om besmet te raken, zowel Anubhav en Geenens hebben er op gewezen dat de vinger op hetzelfde probleem –een verkeerde instelling in Hadoop ‘ s GAREN-component die is bekend voor ten minste twee jaar.
Volgens proof-of-concept code geplaatst op ExploitDB en GitHub, aanvallers worden weergegeven om toegang te krijgen tot een intern GAREN API dat was kwetsbaar voor externe verbindingen. De exploit gebruikt de API te implementeren en uitvoeren van een aangepaste GAREN app binnen een Hadoop-server cluster –in DemonBot het geval van een DDoS-in staat om malware stam.
Deze exploit is zeer populair in de afgelopen paar maanden, wordt ook gebruikt door de multi-functionele Xbash malware in de zomer.
“Sommige dingen zijn gewoon niet bedoeld om te worden blootgesteld op het internet,” Geenens vertelde ZDNet.
Het spreekt voor zich dat Hadoop server beheerders moeten waarschijnlijk review GAREN configs zo spoedig mogelijk zorg ervoor dat ze niet schieten zichzelf in de voet.
Een link naar Radware ‘ s bedreiging alert bevat technische details en IOCs zal worden toegevoegd later op de dag, na de melding wordt openbaar. Dank u voor uw begrip!
VERWANTE ZEKERHEID:
Kaspersky zegt dat het gedetecteerde infecties met DarkPulsar, beweerde de NSA malwareMagecart groep maakt gebruik van zero-dagen in 20 Magento extensiesvan Microsoft Windows zero-day bekend gemaakt op Twitter, weerNieuwe Flash-0-day exploit omzeilt browser infecteert via Office in plaats TechRepublicHandel.io verliest $7.5 Mil waard van cryptocurrency in mysterieuze koude portemonnee hackvan Apple MacOS Mojave zero-day privacy bypass kwetsbaarheid bleekHackers vraag naar bitcoin vanuit de PGA in ransomware aanvallen, zegt rapport CNETtsjechische intelligence-service wordt afgesloten Hezbollah hacken werking
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0