网络安全公司Aqua的网络安全研究人员发现了一种针对Apache Hadoop和Flink应用程序的新攻击。这些攻击利用Apache Hadoop和Flink中的配置错误来部署加密货币挖掘器。
研究人员报告称,这种攻击特别引人注目,因为威胁行为者使用打包程序和rootkits来隐藏恶意软件。
Apache Hadoop是一个开源软件框架,旨在使用商品硬件集群进行大数据集的分布式存储和处理。它是Apache Software Foundation的一项工作,被广泛用于处理大数据和执行并行处理任务。
Apache Flink是由Apache Software Foundation开发的开源统一流处理和批处理框架。该攻击非常简单,攻击者利用Hadoop中YARN的ResourceManager的配置错误来下放和执行二进制文件dca,该文件下载了另外两个二进制文件(rootkits),并将一个Monero加密货币挖掘器写入磁盘。攻击者发送未经身份验证的请求来部署新应用程序,然后尝试通过向YARN发送POST请求请求以使用攻击者的命令启动新应用程序来运行远程代码。
配置错误允许未经身份验证的远程威胁行为者通过特制的HTTP请求执行任意代码。攻击者可以根据代码在节点上执行的用户权限执行任意代码。对Apache Flink的攻击非常相似,利用了允许远程未经身份验证的攻击者实现代码执行的配置错误。报告指出:“该攻击采用了复杂的逃避技术,包括使用被打包的ELF二进制文件和无法被常规安全解决方案检测到的rootkits。恶意软件删除特定目录的内容并修改系统配置以逃避检测。”报告中还包括此攻击的可疑迹象(IoCs)。
原文始发于微信公众号(黑猫安全):攻击者瞄准Apache Hadoop和Flink,用于传送加密货币挖掘器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论