新型DemonBot僵尸网络目标锁定Hadoop服务器 对第三方发起DDoS攻击
网络安全公司Radware的研究人员发现了一个名为DemonBot的新型僵尸网络,它针对Hadoop集群,对第三方发起DDoS攻击。
黑客利用DemonBot僵尸网络瞄准的目标是Hadoop YARN(Yet Another Resource Negotiator,Hadoop集群的资源管理系统)中未经身份验证的远程执行命令。
DemonBot bot仅感染中央服务器, 尽管如此,研究人员也已发现70多台主动攻击的服务器(“肉鸡”)正以每天超过100万次的频率攻击目标系统,并向其传播DemonBot僵尸病毒。
Radware的安全专家称,“虽然我们目前没有找到任何证据表明DemonBot正积极瞄准物联网设备,但Demonbot遵循Mirai构建原则,并不局限于x86 Hadoop服务器,能够在大多数已知的物联网设备上运行。”
研究人员发现,Demonbot的开发者实际上已于9月底在Pastebin上公布了该僵尸病毒的源代码。内容包含命令和控制服务器DemonCNC的源代码以及适用于多平台“肉鸡”的Python构建脚本。
DemonBot C&C服务器提供两种服务:
一是允许该僵尸网络注册并监听来自服务器的新命令;
二是远程访问CLI,允许管理员和潜在的“访客”控制该僵尸网络。
DemonBot启动时,以纯文本TCP方式连接到C&C服务器(硬编码的IP和端口,默认端口6982)。
DemonBot首先收集受感染系统的信息,包括IP地址,端口号(22或23,取决于Python或Perl的可用性以及受感染服务器是否开启了telnetd服务),然后发送到C&C服务器。
攻击者可以向该僵尸网络发送以下命令:
该命令还包含一个用作网络掩码的<spoofit>参数,如果将<spoofit>参数设置为小于32,便可以隐藏该僵尸网络的源IP。
原文链接:https://securityaffairs.co/wordpress/77485/malware/demonbot-botnet-targets-hadoop.htm
相关文章
- 3条评论
- 痴者同尘2022-06-02 04:29:18
- 次的频率攻击目标系统,并向其传播DemonBot僵尸病毒。Radware的安全专家称,“虽然我们目前没有找到任何证据表明DemonBot正积极瞄准物联网设备,但Demonbot遵循Mirai构建原则,并不局限于x86 Hado
- 语酌蒗幽2022-06-02 02:41:14
- 。DemonBot bot仅感染中央服务器, 尽管如此,研究人员也已发现70多台主动攻击的服务器(“肉鸡”)正以每天超过100万次的频率攻击目标系统,并向其传播D
- 忿咬晴枙2022-06-02 01:25:43
- 网络安全公司Radware的研究人员发现了一个名为DemonBot的新型僵尸网络,它针对Hadoop集群,对第三方发起DDoS攻击。黑客利用DemonBot僵尸网络瞄准的目标是Hadoop YARN(Yet