示意圖,與新聞事件無關。

近年數度感染數十萬台路由器的殭屍網路程式Mirai,雖然原創者已經落網判刑,但是Mirai餘孽卻在網路上持續變種,現在安全人員發現,Mirai已經將焦點轉向Linux伺服器了。

安全公司Netcout 的誘捕系統10月間偵測到網路上有多個IP對Hadoop YARN資源管理伺服器的程式碼注入漏洞發動攻擊,經過解析,發現其中有少部份竟是來自Mirai變種。這讓研究人員大吃一驚,因為過去Mirai一向鎖定連網攝影機或家用路由器等物聯網(IoT)裝置。雖然Mirai也曾被發現攻擊Windows裝置,但這是研究團隊第一次發現非以IoT裝置為目標的Mirai變種。研究人員稱之為VPNFilter。

研究人員Matthew Bing指出,VPNFilter和純IoT的Mirai多所不同。首先,以前的Mirai變種會猜測受害裝置是哪種架構—x86、x64、ARM、MIPS、ARC—再下載相應的執行檔。但VPNFilter卻假定Hadoop YARN服務是跑在市售x86 Linux伺服器。

即使Hadoop YARN伺服器並未跑telnet服務,但是VPNFilter還是會透過telnet暴力破解裝置的預設用戶名稱和密碼。此外,當它發現有漏洞的目標裝置,並不像以前直接安裝、擴散惡意程式,而是會將目標的IP位置、用戶名稱和密碼回報外部伺服器,再由少數的攻擊者自動安裝殭屍程式。

研究人員表示,這顯示了Mirai變種作者攻擊策略的一大轉變,因為位於資料中心內的Linux伺服器能比IoT裝置享有更大頻寬,能更有效發動分散式阻斷服務(DDoS)攻擊。只要感染幾台Linux 伺服器,效果就超過為數眾多的Iot裝置還要好。

Hadoop YARN的指令注入漏洞可允許外部駭客執行任意殼程式指令,目前沒有修補程式,被列為高嚴重程度。但上周安全公司Radware首先發現已經有名為DemonBot DDoS的殭屍程式開採。


Advertisement

更多 iThome相關內容