近年數度感染數十萬臺路由器的殭屍網絡程序Mirai,雖然原創者已經落網判刑,但是Mirai餘孽卻在網絡上持續變種,現在安全人員發現,Mirai已經將焦點轉向Linux服務器了。
安全公司Netcout的誘捕系統10月間偵測到網絡上有多個IP對Hadoop YARN資源管理服務器的程序碼注入漏洞發動***,經過解析,發現其中有少部份竟是來自Mirai變種。這讓研究人員大吃一驚,因爲過去Mirai一向鎖定連網攝影機或家用路由器等物聯網(IoT)設備。雖然Mirai也曾被發現***Windows設備,但這是研究團隊第一次發現非以IoT設備爲目標的Mirai變種。研究人員稱之爲×××Filter。
Mirai殭屍網絡重出江湖Mirai殭屍網絡重出江湖
研究人員Matthew Bing指出,×××Filter和純IoT的Mirai多所不同。首先,以前的Mirai變種會猜測受害裝置是哪種架構—x86、x64、ARM、MIPS、ARC—再下載相應的執行檔。但×××Filter卻假定Hadoop YARN服務是跑在市售x86 Linux服務器。
即使Hadoop YARN服務器並未跑telnet服務,但是×××Filter還是會通過telnet暴力破解設備的預設用戶名稱和密碼。此外,當它發現有漏洞的目標設備,並不像以前直接安裝、擴散惡意程序,而是會將目標的IP位置、用戶名稱和密碼回報外部服務器,再由少數的***者自動安裝殭屍程序。
研究人員表示,這顯示了Mirai變種作者***策略的一大轉變,因爲位於資料中心內的Linux服務器能比IoT設備享有更大頻寬,能更有效發動分佈式阻斷服務(DDoS)***。只要感染幾臺Linux服務器,效果就超過爲數衆多的IoT設備還要好。
Hadoop YARN的指令注入漏洞可允許外部駭客執行任意殼程序指令,目前沒有修補程序,被列爲高嚴重程度。但上週安全公司Radware首先發現已經有名爲DemonBot DDoS的殭屍程序開始出現。