Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareVulnerabilità

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

bot  botnet  Hadoop  Mirai   giovedì, 22 novembre 2018

Gli esperti del Security Engineering & Response Team di Arbor Networks (ASERT) hanno scoperto nuove varianti del bot Mirai che, invece di diffondersi con tecniche di worm su dispositivi IoT, prendono di mira specificamente server Linux basati su architettura x86.

La scoperta è avvenuta a seguito del monitoraggio mediante honeypot di tentativi di sfruttamento di una vulnerabilità nota della piattaforma software Apache Hadoop YARN, un framework open source per la gestione, la memorizzazione e l’elaborazione distribuita di dati per applicazioni in esecuzione in sistemi cluster. Questa vulnerabilità è stata già utilizzata in passato per diffondere diversi tipi di malware, tra cui una variante della botnet Sora e una nuova versione di DemonBot.

Il team ASERT ha rilevato, nel periodo tra il primo e il 18 novembre, decine di migliaia di tentativi di sfruttamento della vulnerabilità di Hadoop al giorno, la maggior parte delle quali provenienti da un ristretto numero di sorgenti (indirizzi IP unici), segno che si tratta probabilmente di una campagna orchestrata da un piccolo gruppo di cybercriminali. Gli attaccanti hanno utilizzato la libreria Python Requests per scaricare da remoto sui server bersaglio diversi payload mediante richieste HTTP in formato JSON che sfruttano le API REST del Resource Manager di YARN, le quali consentono ad applicazioni remote di inviare comandi e caricare altre applicazioni su cluster Hadoop.

Tutti i payload analizzati sono funzionalmente identici e consistono in una serie comandi per scaricare un eseguibile malevolo da un URL esterno e mandarlo in esecuzione. Ciò che differenzia gli attacchi esaminati risiede nel tipo di malware scaricato. Durante il mese di novembre, i ricercatori di ASERT hanno identificato 255 file binari diversi scaricati sulle macchine bersaglio. Di questi, 152 provenivano da un’unica sorgente. Almeno una dozzina degli esemplari di malware analizzati erano varianti del bot Mirai.

Una di queste varianti in particolare, chiamata VPNFilter, anche se non ha nulla a che fare con l’omonimo malware per dispositivi IoT, è progettata per girare unicamente su piattaforme x86, in quanto si presume che il servizio Hadoop YARN sia installato unicamente su questa tipologia di macchine.

Una volta lanciato sul server bersaglio, il bot effettua una scansione della rete via telnet alla ricerca di altri server adiacenti esposti con credenziali predefinite. A differenza del classico bot Mirai per dispositivi IoT, questa variante non tenta di replicarsi automaticamente sulle macchine vulnerabili individuate ma si limita ad inviare le informazioni raccolte al server C&C controllato dagli attaccanti, dal quale successivamente partono i tentativi di exploit mirati ad installare il bot sui singoli bersagli.

Il potenziale impatto rappresentato da questa evoluzione di Mirai non è da sottovalutare, in quanto una botnet che include server Linux dispone sicuramente di una capacità di attacco molto più elevata rispetto ad una rete di soli dispositivi IoT. I cluster Hadoop sono piattaforme molto potenti e stabili e sono in grado veicolare individualmente volumi molto elevati di traffico DDoS.

Allo scopo di mitigare queste tipologie di attacchi, si raccomanda ai gestori di infrastrutture cluster basate su Hadoop di verificare l’eventuale esposizione su Internet dei server e di limitare l’accesso alle API REST configurando opportunamente il Resource Manager di Hadoop YARN.

Il post originale di Netscout contiene un’analisi più dettagliata di questa minaccia, inclusi alcuni indicatori di compromissione (IoC).

Notizie correlate

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Incremento degli attacchi verso sistemi ERP

27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning).Leggi tutto

Wicked: scoperta nuova variante della botnet Mirai

18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked.Leggi tutto