Der Infektionsweg
Infiziert werden können Systeme, bei denen die Ressourcenmanagement-Software YARN offen via das Internet erreichbar ist und nicht oder zu wenig gut gegen unerlaubte Zugriffe gesichert ist, wie inside-it.ch dazu erläuterte.
Laut Radware besitzt die Malware einen ähnlichen Aufbau, wie die bekannte Malware Mirai, die 2016 hunderttausende von Routern und anderen Internetgeräten infizierte. Sie unterscheidet sich aber darin dass DemonBot, wenn ein System infiziert wurde, nicht selbst nach neuen Opfern sucht. Die Malware verbreitet sich also nicht wie ein Wurm. Die Angriffe erfolgen stattdessen von dezidierten Angriffsservern aus. Gegenwärtig gibt es davon laut Radware rund 70.
Entdeckung schwierig
Dass DemonBot nicht wie ein Wurm selbst nach neuen Opfern sucht, verlangsamt die Ausbreitung. Gleichzeitig macht dies eine Infektion schwerer zu entdecken, da sich DemonBot still verhält und kaum verdächtigen Traffic verursacht. Zumindest solange kein DDoS-Angriff mit dem infizierten System gefahren wird.
Anscheinend versuchen Cyberkriminelle in letzter Zeit vermehrt, die Sicherheitslücke in YARN auszunutzen um Hadoop-Cluster zu kapern und für eigene Zwecke zu missbrauchen. Ähnliches wie DemonBot versucht auch eine Anfang Oktober entdeckte Variante der Malware Sora. Und Mitte September berichtete die Forschungsabteilung von Palo Alto Networks über eine Variante von Xbash, mit der ebenfalls Angriffe aus Hadoop-Server geführt wurden, so inside-it.ch.
Apache Hadoop ist ein freies, in Java geschriebenes Framework für skalierbare, verteilt arbeitende Software. Es basiert auf dem MapReduce-Algorithmus von Google Inc. sowie auf Vorschlägen des Google-Dateisystems und ermöglicht es, intensive Rechenprozesse mit großen Datenmengen (Big Data, Petabyte-Bereich) auf Computerclustern durchzuführen. Hadoop wurde vom Lucene-Erfinder Doug Cutting initiiert und 2006 erstmals veröffentlicht. Am 23. Januar 2008 wurde es zum Top-Level-Projekt der Apache Software Foundation. Nutzer sind unter anderem Facebook, a9.com, AOL, Baidu, IBM, ImageShack und Yahoo.
YARN (Yet Another Resouce Negotiator; auf Deutsch in etwa Noch ein Ressourcenverhandler) ist seit 2012 eine der wichtigsten Funktionen im Hadoop Framework. Dort ist es ab der zweiten Generation von Hadoop verfügbar. Dabei präsentierte die Apache Software Foundation YARN ursprünglich als neu gestalteten Ressourcen-Manager. Inzwischen ist es darüber hinaus gewachsen und wird als hoch skalierbares, verteiltes Betriebssystem für Big Data Anwendungen charakterisiert.
Weiterführende Links:
blog.radware.com: New DemonBot Discovered
inside-it.ch: Neues Botnetz nimmt Hadoop-Cluster ins Visier
