Hadoop/YARN再度被遭攻击 Securonix：持续性攻击日渐增加

安全公司Securonix指出，Hadoop/YARN等云端基础架构面临的威胁，已从单纯的挖矿衍生出多功能、多平台、具持续性攻击的进阶威胁。Securonix近日分析针对云端基础架构软件、包括Hadoop/YARN在内的恶意攻击，发现虽然有些恶意软件如Moanacroner发动单一平台、单一向量的攻击，用意只是单纯的挖矿，但有些攻击则是多平台、多向量的威胁，兼具挖矿程序、勒索软件、殭尸网络、蠕虫功能，而且攻击多个平台，包括Linux和Windows。

研究人员指出，针对云端基础架构的攻击中，大部份威胁是藉由安装第二阶段的攻击程序达成挖矿和远程访问的目的。少部份则会繁殖增生、感染入侵的服务、移除数据，再安装二阶段的挖矿程序和勒索软件。研究人员发现，针对云端基础架构软件的攻击有许多共通之处，例如具备多种渗透管道，像是Hadoop未验证指令执行、Redis远程指令执行到ActiveMQ。有些殭尸网络有多个不同的C&C服务器，而且中间跳接点（hop point）持续变换而捉摸不定，有的还将C&C服务器寄生在pastebin网页。此外，这些恶意软件为了能进行持续性攻击也发展出一些技俩，像是在Linux平台植入档案中建立定时任务（cronjob），如果在Windows上则建立恶意启动程序以便从C2服务器上下载其他恶意软件。 在这些攻击程序中，又以XBash具备更进阶的攻击能力。它去年5月开始在网络上活动，具备殭尸网络、蠕虫、勒索软件及挖矿程序性质。XBash根据C&C服务器指定的网域和IP地址扫瞄受害系统的多个服务传输埠（HTTP、RDP、FTP、Telnet、SNMP、UPnP）。在入侵系统时，有时是利用Hadoop YARN Resource Manager、Redis和ActiveMQ的漏洞，但有时直接暴力破解密码。最可怕的是，XBash并不只感染Hadoop，也会攻击MySQL、MongoDB、PostgretSQL、MariaDB、Oracle Database。它同时锁定Windows和Linux系统，如果它判断感染的系统是在Windows上，便立即建立启动组件以便之后下载script或执行档进行加密绑架。但它的目的是在破坏数据，感染受害数据库后不会加密，反而是将数据删光，而且无法回复数据。