El Centro de investigación de amenazas de Radware observó recientemente a un actor de amenazas que explotaba un comando remoto no autenticado de Hadoop Yet Another Resource Negotiator (YARN). Este método de ataque permite al agente malintencionado infectar clústeres de Hadoop, un marco de procesamiento distribuido de código abierto que ayuda a las aplicaciones de datos grandes a ejecutarse en sistemas agrupados, con DemonBot. Tras una infección exitosa, la amenaza se conecta a su servidor de comando y control (C&C) y transmite información sobre el dispositivo infectado.
¿Por qué los servidores de infraestructura en la nube son objetivos jugosos?
El objetivo de la amenaza es aprovechar los servidores de infraestructura de la nube infectados para realizar ataques DDoS. En esta coyuntura, no está exhibiendo un comportamiento similar a un gusano similar a Mirai. En su lugar, se basa en 70 servidores de exploits para la distribución, infraestructura que lo ayuda a realizar 1 millón de exploits cada día.
Dicho esto, Radware descubrió que DemonBot es compatible con binarios con la mayoría de los dispositivos de Internet de las Cosas (IoT), lo que significa que la amenaza podría extenderse a otros tipos de productos.
DemonBot no es el primer bot para atacar servidores de infraestructura en la nube como los clusters de Hadoop. A principios de octubre, un investigador de seguridad informó en Twitter que los manejadores de la red de bots Sora IoT intentaron explotar el mismo YARN abusado por DemonBot.
Radware atribuyó el creciente interés en Hadoop al hecho de que los servidores de infraestructura en la nube permiten a los malos actores realizar ataques DDoS más grandes y más estables utilizando múltiples vectores, como el Protocolo de datagramas de usuario (UDP) y el Protocolo de control de transmisión (TCP).
Cómo defender contra DemonBot
Los profesionales de seguridad pueden ayudar a proteger a sus organizaciones contra DemonBot al realizar una evaluación de riesgos adecuada en su implementación en la nube. A partir de ahí, deben contar con la ayuda de los evaluadores de penetración para mapear las vulnerabilidades que afectan su implementación.
Los equipos de seguridad también deberían invertir en herramientas y servicios de mitigación que se especialicen en la defensa contra un ataque DDoS.
Fuente: Securityintelligence.com
