Los expertos en seguridad de Radware han descubierto una nueva red de bots llamada DemonBot que apunta a los clusters de Hadoop para lanzar ataques DDoS contra terceros.
Los operadores detrás de la botnet DemonBot apuntan a una ejecución remota de comandos no autenticados en Hadoop YARN (Yet Another Resource Negotiator).
El robot DemonBot solo infecta los servidores centrales; en el momento del informe, los expertos descubrieron que más de 70 servidores de exploits activos difundían el malware y los sistemas de segmentación a una tasa agregada de más de 1 millón de exploits por día.
“DemonBot se propaga solo a través de servidores centrales y no expone el comportamiento similar a un gusano exhibido por los robots basados en Mirai. A partir de hoy, Radware está rastreando más de 70 servidores de exploits activos que están propagando activamente DemonBot y están explotando servidores a una tasa agregada de más de 1 millón de exploits por día ”, lee el análisis publicado por Radware.
“Tenga en cuenta que, aunque no encontramos ninguna evidencia de que DemonBot esté apuntando activamente a dispositivos IoT en este momento, Demonbot no está limitado a los servidores Hadoop x86 y es compatible con los dispositivos binarios de IoT más conocidos, siguiendo los principios de compilación de Mirai. ”
Incluso si el binario es compatible con la mayoría de los dispositivos conocidos de Internet de las cosas (IoT), el bot no fue observado apuntando objetos inteligentes hasta ahora.
Los expertos que investigaban la botnet descubrieron que el autor del malware había publicado el código fuente del bot en Pastebin a finales de septiembre.
“La búsqueda en los archivos pastebin pronto reveló una coincidencia única en un documento que fue pegado el 29 de septiembre por un actor al que apunta Self-Rep-NeTiS. La pasta contenía el código fuente completo de una botnet que el actor denominó 'DemonBot' ”, dice el informe.
"Las búsquedas adicionales en los archivos revelaron el código fuente del servidor de comandos y control DemonCNC y el script Python Build para los robots multiplataforma".
El servidor DemonBot C&C proporciona dos servicios:
- un oyente que permite a los robots registrarse y escuchar nuevos comandos del servidor
- un CLI de acceso remoto que permite a los administradores y posibles "clientes" controlar la botnet.
Cuando se inicia el código malicioso, se conecta en TCP con texto simple al servidor de C&C, la dirección IP y el puerto están codificados (puerto predeterminado 6982).
El malware primero recopila información sobre el sistema (dirección IP, número de puerto (22 o 23, dependiendo de la disponibilidad de Python o Perl y telnetd en el servidor)) y luego los envía a C2.
Fecha actualización el 2021-10-30. Fecha publicación el 2018-10-30. Categoría: botnet Autor: Oscar olg Mapa del sitio Fuente: securityaffairs