近年数度感染数十万台路由器的僵尸网络程序mirai,虽然原创者已经落网判刑,但是mirai余孽却在网络上持续变种,现在安全人员发现,mirai已经将焦点转向linux服务器了。从需求端看云服务器vps租用更符合消费者的心理预期,愿意为心仪的事物买单。
安全netcout的诱捕系统10月间侦测到网络上有多个ip对hadoopyarn资源管理服务器的程序码注入漏洞发动攻击,经过解析,发现其中有少部份竟是来自mirai变种。这让研究人员大吃一惊,因为过去mirai一向锁定连网摄影机或家用路由器等物联网(iot)设备。虽然mirai也曾被发现攻击windows设备,但这是研究团队第一次发现非以iot设备为目标的mirai变种。研究人员称之为vpnfilter。
研究人员matthewbing指出,vpnfilter和纯iot的mirai多所不同。首先,以前的mirai变种会猜测受害装置是哪种架构x86、x64、arm、mips、arc再下载相应的执行档。但vpnfilter却假定hadoopyarn服务是跑在市售x86 linux服务器。
即使hadoopyarn服务器并未跑telnet服务,但是vpnfilter还是会通过telnet暴力破解设备的预设用户名称和密码。此外,当它发现有漏洞的目标设备,并不像以前直接安装、扩散恶意程序,而是会将目标的ip位置、用户名称和密码回报外部服务器,再由少数的攻击者自动安装僵尸程序。
研究人员表示,这显示了mirai变种作者攻击策略的一大转变,因为位于资料中心内的linux服务器能比iot设备享有更大频宽,能更有效发动分布式阻断服务(ddos)攻击。只要感染几台linux服务器,效果就超过为数众多的iot设备还要好。
hadoopyarn的指令注入漏洞可允许外部骇客执行任意壳程序指令,目前没有修补程序,被列为高严重程度。但上周安全radware首先发现已经有名为demonbotddos的僵尸程序开始出现。