僵屍病毒的開發者顯然已經從開發物聯網(IoT)惡意軟體中吸取了教訓,并将工作重點轉向針對商用Linux伺服器。與許多物聯網裝置一樣,在網際網路上同樣充斥着大量未打更新檔的Linux伺服器,而攻擊者會向他們所能找到的每一台易受攻擊伺服器發送漏洞利用代碼,進而對它們進行大規模的濫用。
網絡安全公司Netcout表示,他們一直在監控其蜜罐網絡中針對Hadoop YARN漏洞的利用嘗試,并發現了一個熟悉但令人驚訝的有效載荷(payload)——Mirai。這些新的Mirai變種的行為與最初的版本非常相似,但它們顯然是為Linux伺服器定制的,而不是物聯網裝置。
需要指出的是,網絡安全公司Netcout 在之前就已經發表過針對Window裝置的Mirai變種的調查結果,但這是他們第一次在攻擊嘗試中看到并非針對物聯網裝置的Mirai。
主要發現
- 針對Linux伺服器的Mirai僵屍病毒不再為特定的架構(如x86、x64、ARM、MIPS或ARC)定制惡意軟體,它們假定目标使用的是x86。
- 攻擊者并不依賴于“殭屍電腦(bot)”來傳播僵屍病毒,而是通過漏洞利用。其中,少部分攻擊者正在使用自定義工具來利用Hadoop YARN漏洞。
- 即使易受攻擊Hadoop YARN伺服器沒有運作telnet服務,攻擊者這也會嘗試使用telnet出廠預設憑證來進行暴力破解。
- Linux伺服器相比物聯網裝置擁有更多的可利用資源,在被成功感染後能夠成為效率更高的DDoS殭屍電腦。也就是說,由少數幾台Linux伺服器構成的僵屍網絡就能夠媲美由大量物聯網裝置構成的僵屍網絡。
攻擊細節
Hadoop YARN漏洞的利用相對簡單,這個指令注入漏洞允許攻擊者執行任意shell指令。上個月,另一家網絡安全公司Radware就曾發現,這個漏洞被用于安裝DemonBot DDoS僵屍病毒。在很多方面,這個漏洞與Netcout 在物聯網裝置中發現的其他漏洞類似。例如,CVE-2014-8361(存在于Realtek的UPnP SOAP接口中的一個漏洞)也可以通過向具有特定參數的特殊端口發送HTTP請求來誘導shell指令的執行來利用,而該漏洞也曾被用于提供Mirai變種。
Netcout公司表示,他們的全球蜜罐網絡一直在追蹤針對Hadoop YARN漏洞的利用嘗試。正如下面的圖1所示,他們每天都會監測到有數以萬計的利用嘗試。
圖1:Hadoop YARN漏洞利用嘗試次數
令人驚訝的是,數量如此之多的漏洞利用嘗試居然均是由少數幾個特定來源發起的。圖2展示了在同一時間段内發起Hadoop YARN漏洞利用嘗試的唯一IP位址的數量。
圖2:唯一IP位址的數量
如果我們仔細對比在圖3中列出的發出這些漏洞利用嘗試的前5個使用者代理,就可以看出攻擊者使用的是Python請求庫來傳遞HTTP有效載荷。
圖3:前5個使用者代理
鑒于漏洞利用嘗試僅來自于少數幾個特定來源,以及惡意軟體有效載荷都是通過對Hadoop YARN漏洞利用來傳播的,而不是以蠕蟲方式,并且有效載荷均采用Python編寫,這些因素加在一起使得Netcout公司相信,新的攻擊僅涉及少數幾個攻擊者通過手動掃描網際網路來利用Hadoop YARN漏洞。
如圖4所示,由Netcout公司觀察到漏洞利用代碼都具有一個相同的功能——從URL中提取惡意軟體二進制檔案并執行它。
圖4:典型的漏洞利用代碼
不同之處在于漏洞利用中提供的惡意軟體。Netcout公司表示,他們在11月份觀察到了225個獨特的二進制檔案。其中,有超過一半(152)的二進制檔案是由同一個IP位址傳遞,并且至少有十幾個顯然是Mirai變種。
圖5:“VPNFilter”Mirai 變種
其中,一個最令Netcout公司感興趣的Mirai變種被命名為“VPNFilter”(2bcca8ac8d4d80f6740ef14d521284c0,如圖5所示)。它與針對物聯網裝置的Mirai變種的一個最主要差別在于——它針對x86裝置。
在沙箱中運作“VPNFilter”時,Netcout公司立即注意到它會嘗試使用telnet出廠預設憑證來進行暴力破解。在成功找到一台易受攻擊的裝置之後,它不會直接在裝置上安裝惡意軟體,而是向C&C伺服器上傳裝置的IP位址、使用者名和密碼。然後,攻擊者會對僵屍病毒進行手動安裝。
總結
Mirai不再是僅僅針對物聯網裝置,而是轉向了針對Linux伺服器提供。攻擊者隻将運作x86的Linux伺服器作為攻擊目标顯然要比在攻擊使用各種不同CPU的物聯網裝置要更加更容易。
有限數量的Hadoop YARN漏洞利用嘗試來源可能表明,新的攻擊是由一小群攻擊者發起的。另外,他們的目标也很明确——将Mirai僵屍病毒安裝到盡可能多的裝置上。一旦建立了立足點,僵屍病毒會使用telnet預設使用者名和密碼來進行暴力破解。