image

Internet of Things-malware Mirai aangepast voor Linux-servers

woensdag 21 november 2018, 16:35 door Redactie, 9 reacties

Criminelen hebben de beruchte Internet of Things-malware Mirai aangepast voor het infecteren van Linux-servers. Het gaat om ongepatchte Linux-servers die via een kwetsbaarheid in Hadoop Yarn worden gecompromitteerd. Apache Hadoop is een framework voor dataverwerking en opslag van bigdata-applicaties die in geclusterde systemen draaien. Yarn is verantwoordelijk voor het toewijzen van systeembronnen en plannen van taken.

Een kwetsbaarheid in Hadoop Yarn maakt het mogelijk voor een aanvaller om willekeurige shellcommando's uit te voeren en malware te installeren. Het gaat dan om varianten van de Mirai-malware, die oorspronkelijk was ontwikkeld om Internet of Things-apparaten zoals ip-camera's en digitale videorecorders te infecteren. Bij de nu waargenomen aanvallen wordt alleen een x86-versie van Mirai geïnstalleerd.

IoT-apparaten draaien op allerlei architecturen. Ontwikkelaars van de verschillende Mirai-varianten moesten hier bij de ontwikkeling van hun malware rekening houden. Door zich op Linux-servers te richten zou het gebruik van alleen een x86-versie volstaan. Daarnaast hebben Linux-servers in een datacentrum meer bandbreedte tot hun beschikking dan de IoT-apparaten van thuisgebruikers, waardoor ze veel beter voor ddos-aanvallen zijn in te zetten, aldus Matthew Bing van securitybedrijf Netscout.

"Een handvol krachtige Linux-servers kan aanvallen genereren die overeenkomen met een veel groter IoT-botnet", aldus Bing. Hij merkt op dat de nu waargenomen aanvallen van een kleine groep aanvallers afkomstig lijken te zijn die handmatig op internet naar kwetsbare systemen zoeken. "Hun doel is duidelijk, zoveel mogelijk systemen met malware infecteren. Zodra er toegang is verkregen gedraagt Mirai op een Linux-server zich net als een IoT-bot en begint met het brute forcen van Telnet-gebruikersnamen en -wachtwoorden. Een verschil is dat tussen de kleine apparaten in het botnet nu ook krachtige Linux-servers aanwezig zijn."

Reacties (9)
21-11-2018, 17:28 door -karma4 - Bijgewerkt: 21-11-2018, 17:29
Gelukkig staat Hadoop Yarn niet op elke Linux server. Het gaat blijkbaar om ca. 1.000 kwetsbare servers wereldwijd. Maar toch een verontrustende zaak.

(*) The attack surface is global and limited to little over 1,000 servers, but it should not be ignored because of the high potential powerful big data servers typically provide for malicious agents. - https://hackernoon.com/hadoop-yarn-assessment-of-the-attack-surface-and-its-exploits-e239759f3809
21-11-2018, 21:19 door karma4
Door Team FOSS: Gelukkig staat Hadoop Yarn niet op elke Linux server. Het gaat blijkbaar om ca. 1.000 kwetsbare servers wereldwijd. Maar toch een verontrustende zaak.

(*) The attack surface is global and limited to little over 1,000 servers, but it should not be ignored because of the high potential powerful big data servers typically provide for malicious agents. - https://hackernoon.com/hadoop-yarn-assessment-of-the-attack-surface-and-its-exploits-e239759f3809
Hadoop is de big data omgeving. Als zouden het er weinig zijn je hebt voor je het weet zo alle verzamelde gevoelige informatie op straat liggen. Het gaat geheel in lijn door met mongodb, s3 buckets, elastic. Vrijwel de hele wereld is zo op straat komen te liggen door die al die lekken. Dat is een gegeven een zekerheid, het fud over MS telemetry heeft nog geen bewijs.

Ooit van https://haveibeenpwned.com/About[\url] gehoord? Waar komen die data vandaan?.
21-11-2018, 22:16 door -karma4
Door karma4: Hadoop is de big data omgeving. Als zouden het er weinig zijn je hebt voor je het weet zo alle verzamelde gevoelige informatie op straat liggen. Het gaat geheel in lijn door met mongodb, s3 buckets, elastic. Vrijwel de hele wereld is zo op straat komen te liggen door die al die lekken.

Wel ja! Sleep er maar weer van alles bij! N.B. die data lekken waaraan je refereert kwamen met name door onkundigen die default wachtwoorden of zelfs geen wachtwoorden over hun data hadden staan.

Door karma4: Dat is een gegeven een zekerheid, het fud over MS telemetry heeft nog geen bewijs.

Nee, dat komt omdat het closed source is. Daarmee kan MS alles maken.
21-11-2018, 22:29 door karma4
Door Team FOSS: ...
Wel ja! Sleep er maar weer van alles bij! N.B. die data lekken waaraan je refereert kwamen met name door onkundigen die default wachtwoorden of zelfs geen wachtwoorden over hun data hadden staan.
....
Dat gaat prima met FOSS. Het management heeft verklaard dat er niets aan security gedaan hoeft te worden omdat het open source zal iemand anders dat op een magische wijze gratis en voor niets doen. Met het woord gratis wordt veel geloofd.

Dus je geeft tos dat met OSS alle data gelekt wordt, te verkrijgen o.a bij Troy Hunt maar bij MS weet niemand wat er is en is er geen data gelekt. Ik vind de tweede situatie persoonlijk beter. Mijn criterium is data lekken ja/nee.
21-11-2018, 22:35 door -karma4
Door karma4:
Door Team FOSS: ...
Wel ja! Sleep er maar weer van alles bij! N.B. die data lekken waaraan je refereert kwamen met name door onkundigen die default wachtwoorden of zelfs geen wachtwoorden over hun data hadden staan.
....
Dat gaat prima met FOSS. Het management heeft verklaard dat er niets aan security gedaan hoeft te worden omdat het open source zal iemand anders dat op een magische wijze gratis en voor niets doen. Met het woord gratis wordt veel geloofd.

Niets aan security doen omdat 'het open source is'? Wat heb je geslikt karma4?

Door karma4: Dus je geeft tos dat met OSS alle data gelekt wordt, te verkrijgen o.a bij Troy Hunt maar bij MS weet niemand wat er is en is er geen data gelekt.

Duh... Dat komt natuurlijk omdat het marktaandeel van MS in de big data-markt zo ongeveer nul is. Wel zelf een beetje doordenken karma4!
21-11-2018, 22:52 door Tha Cleaner
Door Team FOSS:
Door karma4: Hadoop is de big data omgeving. Als zouden het er weinig zijn je hebt voor je het weet zo alle verzamelde gevoelige informatie op straat liggen. Het gaat geheel in lijn door met mongodb, s3 buckets, elastic. Vrijwel de hele wereld is zo op straat komen te liggen door die al die lekken.

Wel ja! Sleep er maar weer van alles bij! N.B. die data lekken waaraan je refereert kwamen met name door onkundigen die default wachtwoorden of zelfs geen wachtwoorden over hun data hadden staan.
Valt dit keer wel mee. Hij heeft hier wel een punt. Hadoop is big data en heeft vaak toegang tot veel (gevoelige) informatie.

En wat is het verschil tussen een niet geupdate Hadoop omgeving of een verkeerd geconfigureerde mongodb, s3 buckets, elastic. Vaak verkeerde beheerders die niet weten wat ze doen, maar ook duidelijk geen benul hebben van met wat voor data men momenteel aan het werk is.
22-11-2018, 04:06 door Anoniem
Waarom scant/stopt men er dan geen andere Linux gerelateerde exploits in van bv de afgelopen 3 jaar? Als je toch al scant kun je het maar beter effectief doen lijkt mij.
22-11-2018, 09:29 door -karma4
Door Tha Cleaner: En wat is het verschil tussen een niet geupdate Hadoop omgeving of een verkeerd geconfigureerde mongodb, s3 buckets, elastic. Vaak verkeerde beheerders die niet weten wat ze doen, maar ook duidelijk geen benul hebben van met wat voor data men momenteel aan het werk is.

De overeenkomst is knullig beheer...
22-11-2018, 10:32 door Anoniem
Oh, nu gaan consultants weer bakken met geld verdienen. Researchers aan de bedelstaf eerder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.