Neues Botnetz nimmt Hadoop-Cluster ins Visier

29. Oktober 2018, 12:43
  • security
image

Der Security-Software-Spezialist Radware beschreibt eine --https://blog.

Der Security-Software-Spezialist Radware beschreibt eine neue Malware, die Hadoop-Systeme aufs Korn nimmt. "DemonBot", so der Name, macht infizierte Systeme zu Teilen eines Botnetzes, mit dem die Angreifer DDoS-Angriffe auf weitere Ziele führen können.
Infiziert werden können Systeme, bei denen die Ressourcenmanagement-Software YARN offen via das Internet erreichbar ist und nicht oder zuwenig gut gegen unerlaubte Zugriffe gesichert ist.
Die Malware weist laut Radware eine ähnliche Architektur auf, wie die bekannte Malware Mirai, die 2016 hunderttausende von Routern und anderen Internetgeräten infizierte. Es gibt aber auch Unterschiede. Unter anderem sucht DemonBot, wenn ein System infiziert wurde, nicht selbst nach neuen Opfern. Die Malware verbreitet sich also nicht wie ein Wurm. Die Angriffe erfolgen stattdessen von dedizierten Angriffsservern aus. Gegenwärtig gibt es davon laut Radware rund 70.
Dass DemonBot nicht wie ein Wurm selbst nach neuen Opfern sucht, verlangsamt die Ausbreitung. Gleichzeitig macht dies eine Infektion schwerer zu entdecken, da sich DemonBot still verhält und kaum verdächtigen Traffic verursacht. Zumindest solange kein DDoS-Angriff mit dem infizierten System gefahren wird.
Anscheinend versuchen Cyberkriminelle in letzter Zeit vermehrt, die Sicherheitslücke in YARN auszunutzen um Hadoop-Cluster zu kapern und für eigene Zwecke zu missbrauchen. Ähnliches wie DemonBot versucht auch eine Anfang Oktober entdeckte Variante der Malware Sora. Und Mitte September berichtete die Forschungsabteilung von Palo Alto Networks über eine Variante von Xbash, mit der ebenfalls Angriffe aus Hadoop-Server geführt wurden. (hjm)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022