Demonbot nhắm tới cloud servers cho các cuộc tấn công DDoS

Demonbot nhắm tới cloud servers cho các cuộc tấn công DDoS

October 30, 2018 | vietsunshine

Một botnet dựa trên Linux có tên DemonBot đang nhắm mục tiêu tới cloud server bị lộ bằng cách sử dụng lỗ hổng trong công cụ quản lý tài nguyên của Hadoop để lây nhiễm botnet malware.

Các nhà nghiên cứu Radware đang theo dõi phần mềm độc hại lây lan qua các máy chủ trung tâm và nhắm vào các cụm Hadoop với ý định thực hiện các cuộc tấn công DDoS được cung cấp bởi các máy chủ cơ sở hạ tầng của đám mây, theo một bài đăng trên blog vào ngày 25 tháng 10.

Radware cho biết malware là DemonBot và nó sử dụng Hadoop YARN (Yet Another Resource Negotiator), thực thi lệnh từ xa chưa được xác thực để lây nhiễm các cụm Hadoop.

YARN là điều kiện tiên quyết cho Enterprise Hadoop và cung cấp quản lý tài nguyên cụm cho phép nhiều công cụ xử lý dữ liệu xử lý dữ liệu được lưu trữ trong một nền tảng duy nhất, nó cũng để lộ ra một API REST cho phép các ứng dụng từ xa gửi các ứng dụng mới đến cluster.

Các nhà nghiên cứu lưu ý rằng phần mềm độc hại không cho thấy hành vi giống như worm được các chương trình dựa trên Mirai botnet. Họ đã theo dõi hơn 70 máy chủ khai thác đang hoạt động tích cực để phát tán phần mềm độc hại với hơn một triệu lần khai thác mỗi ngày.

Dịch vụ Command and Control của botnet được mô tả như là một chương trình C khép kín được cho là chạy trên một lệnh trung tâm và máy chủ điều khiển.

C&C thực hiện các dịch vụ cho phép bot đăng ký và theo dõi các lệnh mới tạo thành C2 và phục vụ như một CLI truy cập từ xa cho phép quản trị viên botnet và ‘khách hàng’ tiềm năng kiểm soát hoạt động của botnet.

“Danh sách các mối đe dọa trên đám mây tiếp tục phát triển. Demonbot là một ví dụ mới về các mối đe dọa khai thác vô số các lỗ hổng tồn tại trong các đám mây, ”Anthony James, phó chủ tịch của CipherCloud cho biết. “DOS, vi phạm dữ liệu, mất dữ liệu, các mối đe dọa nội bộ, cấu hình sai và lỗi quản trị, các API không an toàn, các lỗ hổng Spectre và Meltdown và nhiều hơn nữa sẽ tiếp tục cho phép truy cập trái phép vào dữ liệu của bạn”.

Tags: , ,