威胁行为者正在针对运行 Apache Hadoop 和 Apache Druid 大数据技术以及新版本 Lucifer 僵尸网络的组织,Lucifer 僵尸网络是一种已知的恶意软件工具,结合了加密劫持和分布式拒绝服务 (DDoS) 功能。
该活动是僵尸网络的一次突破,Aqua Nautilus 本周的一项分析表明,其运营商正在测试新的感染例程,作为更广泛活动的前奏。
Lucifer 是一种自我传播的恶意软件,Palo Alto Networks 的研究人员于 2020 年 XNUMX 月首次报告。当时,该公司描述了 威胁为危险的混合恶意软件 攻击者可以利用它来发起 DDoS 攻击,或者丢弃 XMRig 以挖掘门罗币加密货币。帕洛阿尔托说有 观察到攻击者也使用 Lucifer 放弃国家安全局的泄露 《永恒之蓝》、《永恒的浪漫》和《DoublePulsar》 目标系统上的恶意软件和漏洞利用。
Palo Alto 当时警告说:“Lucifer 是加密劫持和 DDoS 恶意软件变体的新混合体,它利用旧漏洞在 Windows 平台上传播和执行恶意活动。”
现在,它又回来了,并瞄准 Apache 服务器。 Aqua Nautilus 的研究人员一直在监测该活动 本周在博客中说 仅在上个月,他们就统计了超过 3,000 起针对该公司 Apache Hadoop、Apache Druid 和 Apache Flink 蜜罐的独特攻击。
路西法的 3 个独特攻击阶段
该活动已经持续了至少六个月,在此期间,攻击者一直试图利用开源平台中已知的错误配置和漏洞来传递其有效负载。
到目前为止,该活动由三个不同的阶段组成,研究人员表示,这可能表明对手正在全面攻击之前测试防御规避技术。
Aqua Nautilus 安全数据分析师 Nitzan Yaakov 表示:“该活动于 7 月份开始针对我们的蜜罐。” “在我们的调查过程中,我们观察到攻击者更新技术和方法来实现攻击的主要目标——挖掘加密货币。”
在新活动的第一阶段,Aqua 研究人员观察到攻击者扫描互联网以查找配置错误的 Hadoop 实例。当他们在 Aqua 蜜罐上检测到配置错误的 Hadoop YARN(Yet Another Resource Negotiator)集群资源管理和作业调度程序技术时,他们针对该实例进行漏洞利用活动。 Aqua 蜜罐上配置错误的实例与 Hadoop YARN 的资源管理器有关,并为攻击者提供了一种通过特制 HTTP 请求在其上执行任意代码的方法。
攻击者利用错误配置下载 Lucifer,执行它并将其存储到 Hadoop YARN 实例的本地目录。然后,他们确保恶意软件按计划执行,以确保持久性。 Aqua 还观察到攻击者从最初保存二进制文件的路径中删除了该二进制文件,以试图逃避检测。
在攻击的第二阶段,威胁行为者再次瞄准 Hadoop 大数据堆栈中的错误配置,试图获得初始访问权限。然而,这一次,攻击者没有删除单个二进制文件,而是在受感染的系统上删除了两个二进制文件——一个执行了 Lucifer,另一个显然没有执行任何操作。
在第三阶段,攻击者改变策略,不再针对配置错误的 Apache Hadoop 实例,而是开始寻找易受攻击的 Apache Druid 主机。 Aqua 蜜罐上的 Apache Druid 服务版本未打补丁 CVE-2021-25646,某些版本的高性能分析数据库中的命令注入漏洞。该漏洞为经过身份验证的攻击者提供了一种在受影响的系统上执行用户定义的 JavaScript 代码的方法。
Aqua 表示,攻击者利用该缺陷注入了一个命令,用于下载两个二进制文件,并为所有用户提供读、写和执行权限。其中一个二进制文件启动了 Lucifer 的下载,而另一个则执行了恶意软件。安全供应商指出,在此阶段,攻击者决定将 Lucifer 的下载和执行拆分为两个二进制文件,这似乎是试图绕过检测机制。
如何避免对 Apache 大数据的地狱般的网络攻击
在针对 Apache 实例的潜在攻击浪潮到来之前,企业应检查其足迹是否存在常见的错误配置,并确保所有补丁都是最新的。
除此之外,研究人员指出,“可以通过使用运行时检测和响应解决方案扫描您的环境来识别未知威胁,这些解决方案可以检测异常行为并对其发出警报”,并且“在使用开源库。每个库和代码都应该从经过验证的经销商处下载。”
- :具有
- :是
- :在哪里
- $UP
- 000
- 2020
- 7
- a
- 关于
- 关于它
- ACCESS
- 活动
- 活动
- 演员
- 影响
- 再次
- 驳
- 警惕
- 所有类型
- 单
- 还
- an
- 分析
- 分析人士
- 分析
- 和
- 另一个
- 阿帕奇
- 出现
- 旱厕
- 随意
- 保健
- AS
- At
- 攻击
- 攻击者
- 攻击
- 尝试
- 尝试
- 认证
- 避免
- 察觉
- 背部
- 基础
- BE
- 很
- before
- 开始
- 行为
- 之间
- 大
- 大数据运用
- 博客
- 僵尸网络
- 更广泛
- by
- 绕行
- 营销活动
- CAN
- 能力
- 谨慎
- 一定
- 簇
- 码
- 结合
- 未来
- 相当常见
- 公司
- 包含
- 妥协
- 可以
- 精雕细琢
- cryptocurrency
- Cryptojacking
- 网络攻击
- 危险的
- data
- 数据库
- DDoS攻击
- 决定
- 国防
- 交付
- 拒绝服务
- 离开
- 描述
- 检测
- 检测
- 检测
- DID
- 目录
- 不同
- 分布
- 经销商
- do
- 下载
- 下载
- 下降
- 下降
- 删除
- 德鲁伊
- ,我们将参加
- enable
- 使
- 确保
- 保证
- 企业
- 环境中
- 逃脱
- 逃税
- 所有的
- 特殊
- 执行
- 执行
- 执行
- 现有
- 利用
- 剥削
- 功勋
- 远
- 档
- 姓氏:
- 缺陷
- 针对
- 止
- 全尺寸
- Gain增益
- 给
- 给
- 目标
- 民政事务总署
- 有
- 高性能
- 为了
- 创新中心
- How To
- 但是
- HTTP
- HTTPS
- 杂交种
- 确定
- 重要
- in
- 迹象
- 初始
- 原来
- 启动
- 注入
- 例
- 代替
- 网络
- 调查
- IT
- 它的
- JavaScript的
- 工作
- JPG
- 七月
- 只是
- 已知
- 名:
- 最少
- 杠杆
- 库
- 自学资料库
- 容易
- 本地
- 寻找
- 主要
- 恶意
- 恶意软件
- 颠覆性技术
- 经理
- 可能..
- 机制
- 方法
- 采矿
- Monero
- 监控
- 月
- 个月
- 更多
- 网络
- 全新
- NIST
- 注意到
- 没什么
- 国家安全局
- of
- 老
- on
- 一旦
- 一
- 正在进行
- 打开
- 开放源码
- 运营商
- or
- 组织
- 其他名称
- 我们的
- 帕洛阿尔托
- 修补
- 径
- 演出
- 权限
- 坚持
- 相
- 阶段
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 潜力
- 先导
- 阅读
- 报道
- 请求
- 研究人员
- 资源
- 响应
- 检讨
- 运行
- 运行
- s
- 说
- 保存
- 说
- 扫描
- 预定
- 其次
- 保安
- 服务器
- 服务
- 应该
- 单
- SIX
- 六个月
- So
- 至今
- 解决方案
- 来源
- 特别
- 分裂
- 赞助商
- 传播
- 堆
- 阶段
- 商店
- 提示
- 交换的
- 系统
- 产品
- 策略
- 目标
- 针对
- 瞄准
- 技术
- 技术
- 专业技术
- 测试
- 比
- 这
- 其
- 他们
- 然后
- 他们
- 第三
- Free Introduction
- 本星期
- 威胁
- 威胁者
- 威胁
- 三
- 次
- 至
- 工具
- 尝试
- 原来
- 二
- 独特
- 不明
- 跟上时代的
- 更新
- 使用
- 用户
- 运用
- 变种
- 供应商
- 专利
- 版本
- 版本
- 通过
- 漏洞
- 漏洞
- 脆弱
- 警告
- 是
- 波
- 方法..
- we
- 周
- ,尤其是
- 这
- 而
- WHO
- 窗户
- 写
- 但
- 您一站式解决方案
- 和风网