利用配置错误的 Apache Hadoop YARN部署恶意软件

  • A+
所属分类:安全文章

概述

云服务的错误配置和由此导致的暴露是Linux威胁领域中最普遍的风险之一。我们以前分析过与这一安全问题有关的事件,如暴露的DockerAPI被威胁者在野外滥用,以及威胁者积极搜索暴露的Redis实例。

本文涉及了另一个难题:Apache Hadoop YARN,它是Hadoop 框架的一部分,负责在集群上执行任务。

利用配置错误的 Apache Hadoop YARN部署恶意软件




 

分析

需要注意的是,这些云服务的暴露并不是因为它们本身不安全,而仅仅是因为配置错误,这是一个令人担忧的安全风险,因为它允许在集群上远程执行代码(RCE)。不幸的是,威胁者多年来一直在积极利用这些服务。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图1. 暴露的 YARN 服务上的恶意请求示例

 

为了研究这种风险,我们尝试在野外暴露这种服务。然后我们发现,威胁者很快就能找到暴露的服务并部署各种恶意的Payload。在下文中,我们将讨论针对暴露的YARN服务的恶意软件家族。

 

 

Kinsing和其它加密劫持恶意软件

众所周知,Linux环境中的恶意Payload常用于部署加密劫持恶意软件,因此这些恶意软件被部署在YARN服务中并不奇怪。在这种情况下,Payload属于一个著名的恶意软件家族Kinsing(检测为Trojan.Linux.KINSING.AB和Trojan.SH.KINSING.G)。

在攻击开始时,威胁者通过HTTP POST请求向暴露的服务发送命令。作为意外响应,YARN随后创建了一个包含攻击者命令的启动脚本。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 2. 执行 YARN 生成的脚本示例

 

一旦Hadoop容器脚本被执行,它就会下载一个部署Kinsing恶意软件的远程脚本。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 3.Kinsing 家族标识符示例

 

 

它还部署了一个具有传播能力的Go-compiled二进制文件。这个二进制文件与远程命令和控制(C&C)服务器进行通信,为受感染的系统提供一个后门,并部署已知的Kinsing加密劫持进程,称为kdevtmpfsi。

值得注意的是,Kinsing并不是在那里发现的唯一加密劫持恶意软件。加密货币挖矿领域仍然是一个争夺资源的战场,我们在Hadoop YARN中也发现了一个竞争者的加密劫持恶意软件,这个竞争性的恶意软件随后将从系统中根除 Kinsing。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 4. HadoopYARN内部部署的Payload的加密劫持竞争实例

 

 

策略

旨在利用这些配置错误的云服务的威胁者通常采用多种策略。

首先,威胁者会禁用系统的保护功能。随着云服务的安全解决方案在企业中变得越来越流行,威胁者通过搜索和尝试卸载保护软件来适应这种变化,这种功能在加密劫持恶意软件中很常见。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图5. 移除云安全工具和服务的例子

 

威胁者还会收集凭证。随着需要认证访问的平台种类不断增加,对访问令牌和关键信息(用于访问系统的凭证等敏感信息)的需求也在增加。对于那些难以保持跟踪的用户来说,将这些东西保存在使用它们的机器上是很常见的事情。不幸的是,这样做没有任何额外的保护,威胁者意识到了这一点,因此那些成功进入系统的攻击者会积极寻找这些未受保护的凭证。

当然,他们不会停止收获:他们还利用这些凭证进入其它系统,甚至是非云系统,来感染它们。我们以前在一篇关于TeamTNT的文章中也观察到了这种行为。由此可以推断,威胁者试图渗透到尽可能多的系统中,以使其收益最大化。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 6. 根据对受害者系统中SSH使用情况的研究,最大限度地提高感染率的例子

 

应该强调的是,如果威胁者用于访问另一个系统的私钥受到所有者的保护,并且至少有一个为该密钥加密的密码,那么目标系统的感染将不会成功,这突出了采用此类安全预防措施的重要性。

最后,正如我们之前在关于Linux威胁状况的研究中所述,我们发现威胁从一个受感染的设备传播到另一个设备是很常见的。为了实现这一点,威胁者正在使用端口扫描工具,如masscan,以确定暴露和脆弱的服务。一旦这些服务被识别,威胁者就会试图部署他们的Payload。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 7. 试图感染暴露的Redis实例的例子

 

 

其它恶意软件变体和环境

如果不提及臭名昭著的Mirai僵尸网络,那么Payload列表是不完整的。它是一个在物联网(IoT)环境中常见的威胁,后来演变并针对其它平台,如受Hadoop YARN感染的容器。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 8. 针对不同架构的Mirai构建的开放目录示例

 

由于Hadoop YARN服务也可以在Windows上运行,所以在集群中也可以发现针对该平台设计的威胁。

利用配置错误的 Apache Hadoop YARN部署恶意软件

图 9. 恶意 power shell 脚本示例

 

 

加强云服务安全

随着对在线系统的依赖不断增加,云服务正在成为企业的一个重要组成部分,云安全也随之变得日益重要。建议组织应用云安全解决方案并实施以下建议:

  • 慎重配置云服务。用户可以最大限度地利用这些平台所提供的内置安全设置。

  • 采用最小特权原则。在这里,用户将仅被授予其任务所需的最低限度的访问权限。

  • 坚持责任共担模式。用户,而不仅仅是云服务提供商,都有责任保持这些平台的安全。

  • 不要以明文形式存储凭证,而要以加密的形式存储秘密和关键信息。它们还可用于从一个地方更改,并将该更改同步到多个应用程序,而无需更改代码。

 

 

IoC

Hashes

SHA-265

趋势科技模式检测

25d19152363063eb2b1976b416452e63ad21c205f727837d38d17001831f17f3

Trojan.Linux.KINSING.AB

ec5ed2498945a5b0b1c1f149e201d7395bf3cb1c50f471d820500028ffe19d53

Trojan.SH.KINSING.G

d17b00fd7687d2de31b0dd3b43d468f1de281002228361ef3125b92de0c08772

Trojan.SH.CVE20207961.SM

6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b

Coinminer.Linux.MALXMR.PUWEMA

11547e36146e0b0956758d48faeb19d4db5e737dc942bc7498ed86a8010bdc8b

Coinminer.Win32.MALXMR.TIAOODGJ

1caf7ed35dcb8eddb5bca9120294bc79e7d9a24d451bc0fbebb2195fa5826808

Coinminer.Win32.MALXMR.TIAOODGJ

7cd493e9a14eb33279a96fe025aae0ff37712a300e83dd334cff8ce138fd721a

Coinminer.Win32.MALXMR.TIAOODGJ

83c4ff76659aec8db03942b3b7094736e4377048166839d3ab476067fbc2f892

Coinminer.Win32.MALXMR.TIAOODGJ

559a8ff34cf807e508d32e3a28864c687263587fe4ffdcefe3f462a7072dcc74

Coinminer.Win32.MALXMR.TIAOODDS
 /16.845.00

a5604893608cf08b7cbfb92d1cac20868808218b3cc453ca86da0abaeadc0537

Coinminer.Win64.MALXMR.SMA
 /16.845.00

b5584e223d79a1bac7dd75e707f8a6f1be2edd1334d194f30a1c060c11ec130d

Coinminer.MSIL.MALXMR.TIAOODBF

e7446d595854b6bac01420378176d1193070ef776788af12300eb770a397bf7

Coinminer.Linux.MALXMR.UWEKM
 /16.845.00

fe0816092e006960f2261a3fa919b577aa392291bb0a11149805c651ac633909

Coinminer.SH.MALXMR.UWEKA

1b7e6877d9cc8f4a64e097dbccac1eef9c596fed743d495d5eb9658bb92e3010

Trojan.Win64.MALXMR.N

01b4ccc7be55485ff529ca1f92fd5dbefcce93e13720a8b4d5d3385e944fff8a

Trojan.SH.MALXMR.UWELB

bc79c734cb4378e1d13e429b6237fcee52a1261a396219add751462d0a1ae1b0

Trojan.Linux.MALXMR.UWELD

508ec039ca9885f1afc6f15bb70adfa9ed32f9c2d0bff511052edb39898951c7

Trojan.Python.MALXMR.I

653e638e6e38636b0f14ce233661947f624011ef36f7c7edbc8a7614248c3fce

Trojan.Python.MALXMR.I

599393e258d8ba7b8f8633e20c651868258827d3a43a4d0712125bc487eabf92

PUA.Win64.PhoenixMiner.E

f5d0572b2a5c76bfcf5986b6fbbc96d2cd44da36ae08d2633284fa4782fe68bf

Backdoor.Linux.MIRAI.SMMR1
 /16.845.00

fa212943d8c9a66e5087ffd73901a887fea6a5bc657db87575889d20f99a2a40

Backdoor.Linux.MIRAI.SMMR1
 /16.845.00

8a932e992dde32dfa422691ccf46681050bb675472a2877fdc7d69fb36817c8a

Backdoor.Linux.MIRAI.SMMR1
 /16.845.00

1ab11b57b2848c4ed513acb453cc08b2be65087485ae5fb05b8535fa99645d7b

Backdoor.Linux.MIRAI.SMNM4
 /16.845.00

6aa250a48dc8e50dd2d96e638eb223a72862441cf41972ecd8529d1c3fe02c8d

Backdoor.Linux.MIRAI.SMNM4
 /16.845.00

30a36bcc9c9939d7f1ce76965e17cbb0b4514c41ccfda0e8648f117a037c8567

Backdoor.Linux.MIRAI.USDSEFM21
 /16.845.00

807a6d1de933d35d2793d0932f6ea6a15ee4f76dd3ee91fff4c4f54c1bd0f2e1

Backdoor.Linux.MIRAI.USDSEFM21
 /16.845.00

44bd5e06802690ceef122c321bc9bc1b570c8738c9d23260ca32ee0e4eba5e0f

Backdoor.Linux.MIRAI.USDSEFM21
 /16.845.00

1a372a7e7da228278fbeeff1964066eef45f3cf0ae3293031728c69fb8d92b3e

Backdoor.Linux.MIRAI.USDSEFM21
 /16.845.00

09634a6fab8acacf01b60c0acba85d222d4ad40483259d193cd56c5311449d93

Backdoor.Linux.MIRAI.USDSEFM21
 /16.845.00

ac7525e69dc3c07ce43344a8b58dca1436088dd2c21878e2dae8b30a69e4d80f

Backdoor.Linux.MIRAI.USDSEFM21
 /16.845.00

3c250e10153ae0eea58ee17e04868f4fed568f4587774de27f31affb85a7fa19

Backdoor.Linux.MIRAI.USELVEO21
 /16.845.00

e55c980a3eddb47a26af86af1ce80ae7a251648923770d5feea7c74b1e7dfbf5

Backdoor.Linux.MIRAI.USELVEO21
 /16.845.00

fe176f4af1beabf9b85bb93f3f585d491209430a11e4376ea8106a2974761387

Backdoor.Linux.MIRAI.USELVEO21
 /16.845.00

aaaf9574ee271ad917dad99318084256062bbbc7fe90449021963061104a250e

Backdoor.Linux.MIRAI.USELVEO21
 /16.845.00

b2ab91b682b3b36a31836df30d8298f804697240eddbb5291001c1c588ed832d

Backdoor.Linux.MIRAI.USELVEO21
 /16.845.00

23656bbf8b94a039f062d24e40fbea51b9aadb29eaeaa7e9a834a43ff378bdab

Backdoor.Linux.MIRAI.USELVEO21
 /16.845.00

43cbd16376a32ad679aba66e276c644524f275851b991db760295c9160e753f4

Backdoor.Linux.MIRAI.SMMR1
 /16.845.00

8971773fb614498d64a5220e48da87a9d395faa326bfc66d775815908b18cdb5

Backdoor.Linux.MIRAI.SMMR1
 /16.845.00

e74d856b07ebcf4c3b21425918daed075f10b3b14f9f97aadf3a2ada96d8a892

Backdoor.Linux.MIRAI.SMMR1
 /16.845.00

2706f6fa6b0da69436513b0790a9194dcdd2463a5150b9d00699fa30708a9ff9

ELF_MIRAILOD.SM/16.845.00

76d42ec36a9157ba20ccc643d59d8a735ea31016ac1064dc92b4843a578c1520

Backdoor.Linux.GAFGYT.USELVEO21
 /16.845.00

9a4c8cf6336544d27c62355b85a882fd8137a336d4aaa893d1607ef1b4aa2743

Backdoor.Linux.GAFGYT.USELVEO21
 /16.845.00

9aa8a11a52b21035ef7badb3f709fa9aa7e757788ad6100b4086f1c6a18c8ab2

HackTool.Linux.PortScan.A/16.845.00

1225cc15a71886e5b11fca3dc3b4c4bcde39f4c7c9fbce6bad5e4d3ceee21b3a

HKTL_SSHBRUTE/16.845.00

558c12a703cac54a1a1206d80b12203d323b869e486a18c4340a09ff0a482570

TROJ_FRS.VSNW18E21/16.845.00

b6154d25b3aa3098f2cee790f5de5a727fc3549865a7aa2196579fe39a86de09

PUA.Win32.XMRig.KAZ

 

 

URL

URLs

类别

hxxp://update.aegis.aliyun.com/download/uninstall.sh

Disease Vector

hxxp://update.aegis.aliyun.com/download/quartz_uninstall.sh

Disease Vector

hxxp://h.epelcdn.com/dd210131/pm.sh

Disease Vector

hxxp://h.epelcdn.com/dd210131/phpupdate

Malware Accomplice

Coin Miners

hxxp://176.123.7.127/id210131/phpupdate

Malware Accomplice

Coin Miners

hxxp://176.123.7.127/id210131/newdat.sh

Malware Accomplice

hxxp://h.epelcdn.com/dd210131/newdat.sh

Malware Accomplice

hxxp://176.123.7.127/id210131/config.json

Disease Vector

hxxp://h.epelcdn.com/dd210131/config.json

Disease Vector

hxxp://176.123.7.127/id210131/networkmanager

Malware Accomplice

hxxp://h.epelcdn.com/dd210131/networkmanager

Malware Accomplice

hxxp://176.123.7.127/id210131/phpguard

Malware Accomplice

hxxp://h.epelcdn.com/dd210131/phpguard

Malware Accomplice

hxxp://h.epelcdn.com/dd210131/spre.sh

Disease Vector

hxxp://209.141.40.190/xms

Insecure IoT  Connections

Disease Vector

hxxp://209.141.40.190/hxx

Malware Accomplice

Disease Vector

hxxp://209.141.40.190/pas

Disease Vector

Coin Miners

hxxp://209.141.40.190/scan

Disease Vector

hxxp://bash.givemexyz.in/x86_64

Disease Vector

hxxp://h.epelcdn.com/dd210131/1.0.4.tar.gz

Disease Vector

hxxp://h.epelcdn.com/dd210131/scan.sh

Disease Vector

hxxp://bash.givemexyz.in/i686

Disease Vector

hxxp://bash.givemexyz.in/bashirc.i686

Malware Accomplice

Disease Vector

hxxp://bash.givemexyz.in/x64b

Malware Accomplice

hxxp://bash.givemexyz.in/x32b

Malware Accomplice

hxxp://209.141.40.190/x86_64

Coin Miners

hxxp://209.141.40.190/bashirc.x86_64

Disease Vector

Coin Miners

hxxp://209.141.40.190/i686

Disease Vector

Coin Miners

hxxp://209.141.40.190/bashirc.i686

Disease Vector

Coin Miners

hxxp://168.138.143.186/batata/Winbox.arm6

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.arm7

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.m68k

Malware Accomplice

hxxp://209.141.40.190/ps

Disease Vector

Coin Miners

hxxp://168.138.143.186/batata/Winbox.mips

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.mpsl

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.ppc

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.sh4

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.spc

Malware Accomplice

hxxp://168.138.143.186/batata/Winbox.x86

Malware Accomplice

 

 

原文链接: 

https://www.trendmicro.com/en_us/research/21/g/threat-actors-exploit-misconfigured-apache-hadoop-yarn.html

 

 



本文始发于微信公众号(维他命安全):利用配置错误的 Apache Hadoop YARN部署恶意软件

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: