Der Security-Software-Spezialist Radware beschreibt eine neue Malware, die Hadoop-Systeme aufs Korn nimmt. "DemonBot", so der Name, macht infizierte Systeme zu Teilen eines Botnetzes, mit dem die Angreifer DDoS-Angriffe auf weitere Ziele führen können.

Infiziert werden können Systeme, bei denen die Ressourcenmanagement-Software YARN offen via das Internet erreichbar ist und nicht oder zuwenig gut gegen unerlaubte Zugriffe gesichert ist.

Die Malware weist laut Radware eine ähnliche Architektur auf, wie die bekannte Malware Mirai, die 2016 hunderttausende von Routern und anderen Internetgeräten infizierte. Es gibt aber auch Unterschiede. Unter anderem sucht DemonBot, wenn ein System infiziert wurde, nicht selbst nach neuen Opfern. Die Malware verbreitet sich also nicht wie ein Wurm. Die Angriffe erfolgen stattdessen von dedizierten Angriffsservern aus. Gegenwärtig gibt es davon laut Radware rund 70.

Dass DemonBot nicht wie ein Wurm selbst nach neuen Opfern sucht, verlangsamt die Ausbreitung. Gleichzeitig macht dies eine Infektion schwerer zu entdecken, da sich DemonBot still verhält und kaum verdächtigen Traffic verursacht. Zumindest solange kein DDoS-Angriff mit dem infizierten System gefahren wird.

Anscheinend versuchen Cyberkriminelle in letzter Zeit vermehrt, die Sicherheitslücke in YARN auszunutzen um Hadoop-Cluster zu kapern und für eigene Zwecke zu missbrauchen. Ähnliches wie DemonBot versucht auch eine Anfang Oktober entdeckte Variante der Malware Sora. Und Mitte September berichtete die Forschungsabteilung von Palo Alto Networks über eine Variante von Xbash, mit der ebenfalls Angriffe aus Hadoop-Server geführt wurden. (hjm)