安全公司Securonix指出,Hadoop/YARN等云计算基础架构面临的威胁,已从单纯的挖矿衍生出多功能、多平台、具持续性攻击的高端威胁。
Securonix近日分析针对云计算基础架构软件、包括Hadoop/YARN在内的恶意攻击,发现虽然有些恶意软件如Moanacroner发动单一平台、单一矢量的攻击,用意只是单纯的挖矿,但有些攻击则是多平台、多矢量的威胁,兼具挖矿程序、勒索软件、僵尸网络、蠕虫功能,而且攻击多个平台,包括Linux和Windows。
研究人员指出,针对云计算基础架构的攻击中,大部分威胁是借由安装第二阶段的攻击程序完成挖矿和远程访问的目的。少部分则会繁殖增生、感染入侵的服务、移除数据,再安装二阶段的挖矿程序和勒索软件。
研究人员发现,针对云计算基础架构软件的攻击有许多共同之处,例如具备多种渗透渠道,像是Hadoop未验证指令执行、Redis远程指令执行到ActiveMQ。有些僵尸网络有多个不同的C&C服务器,而且跳点(hop point)持续变换而捉摸不定,有的还将C&C服务器寄生在pastebin网页。此外,这些恶意程序为了能进行持续性攻击也发展出一些技俩,像是在Linux平台植入文件中创建定时任务(cronjob),如果在Windows上则创建恶意启动程序以便从C2服务器上下载其他恶意程序。
在这些攻击程序中,又以XBash具备更高端的攻击能力。它去年5月开始在网络上活动,具备僵尸网络、蠕虫、勒索软件及挖矿程序性质。 XBash根据C&C服务器指定的域名和IP地址扫瞄受害系统的多个服务传输端口(HTTP、RDP、FTP、Telnet、SNMP、UPnP)。在入侵系统时,有时是利用Hadoop YARN Resource Manager、Redis和ActiveMQ的漏洞,但有时直接暴力破解密码。
最可怕的是,XBash并不只感染Hadoop,也会攻击MySQL、MongoDB、PostgretSQL、MariaDB、Oracle Database。它同时锁定Windows和Linux系统,如果它判断感染的系统是在Windows上,便立即创建启动组件以便之后下载script或执行文件进行加密绑架。但它的目的是在破坏数据,感染受害数据库后不会加密,反而是将数据删光,而且无法恢复数据。