Bir tehdit aktörü, Monero kripto madencilerini iki büyük veri teknolojisini çalıştıran ortamlara bırakmak için Hadoop YARN ve Apache Flink’teki yaygın bir yanlış yapılandırmayı hedef alıyor.
Kampanyayı özellikle dikkate değer kılan şey, saldırganın tipik tehdit algılama mekanizmalarını atlatmak için rootkit’ler, paketlenmiş ELF ikili dosyaları, dizin içeriği silme ve sistem yapılandırma değişiklikleri gibi karmaşık kaçınma tekniklerini kullanmasıdır.
Bilinen Yanlış Yapılandırmalar
Aqua Nautilus’tan araştırmacılar, yakın zamanda bulut balküplerinden birine isabet eden yeni saldırılar tespit ettiklerinde kampanyayı ortaya çıkardılar. Bir saldırı, Hadoop YARN’daki bir özellikteki bilinen bir yanlış yapılandırmadan yararlandı. Kaynak Yöneticisi Hadoop kümesinde çalışan uygulamaların kaynaklarını yöneten. Diğeri ise Flink’te, YARN sorunu gibi, saldırganlara etkilenen sistemlerde rastgele kod çalıştırma yolu sağlayan, benzer şekilde bilinen bir yanlış yapılandırmayı hedef alıyordu.
Hadoop İPLİK (Yet Another Resource Negotiator), Hadoop ekosisteminin büyük veri işlemeye yönelik bir kaynak yönetimi alt sistemidir. Apache Flink bir nispeten yaygın olarak kullanılan olay odaklı veri analitiği ve veri hattı uygulamaları için açık kaynak akışı ve toplu işlemci.
Aqua Nautilus’un baş araştırmacısı Assaf Morag, YARN yanlış yapılandırmasının saldırganlara yeni uygulamalar oluşturmak için kimliği doğrulanmamış bir API isteği gönderme yolu sağladığını söylüyor. Flink yanlış yapılandırması, bir saldırganın, kötü amaçlı kod içeren bir Java arşivi (JAR) dosyasını bir FLINK sunucusuna yüklemesine olanak tanır.
Morag, “Her iki yanlış yapılandırma da uzaktan kod yürütülmesine izin veriyor ve bu da bir saldırganın potansiyel olarak sunucu üzerinde tam kontrol elde edebileceği anlamına geliyor” diyor. Bu sunucuların veri işleme amacıyla kullanıldığı göz önüne alındığında, bunların yanlış yapılandırılması veri sızıntısı riski oluşturmaktadır. Morag, “Ayrıca, bu sunucular genellikle kuruluş içindeki diğer sunucularla bağlantılıdır ve bu da saldırganın yanal hareketini kolaylaştırabilir” diyor.
Cryptominer’ı dağıtma
Apache Nautilus’un bal küplerine yapılan saldırıda, düşman, yeni bir uygulamayı dağıtmak için kimliği doğrulanmamış bir istek göndermek üzere Hadoop YARN’daki yanlış yapılandırmadan yararlandı. Saldırgan daha sonra bir POST isteği göndererek, saldırganın komutunu kullanarak yeni uygulamayı başlatmasını isteyerek yanlış yapılandırılmış YARN üzerinde uzaktan kod çalıştırabildi. Saldırgan, kalıcılığı sağlamak için öncelikle YARN sunucusundaki tüm cron işlerini (veya zamanlanmış görevleri) sildi ve yeni bir cron işi oluşturdu.
Aqua’nın saldırı zinciri analizi, saldırganın YARN sunucusundaki /tmp dizininin içeriğini silmek için komutu kullandığını, uzak bir komut ve kontrol sunucusundan /tmp dizinine kötü amaçlı bir dosya indirdiğini, dosyayı çalıştırdığını ve bu dosyayı çalıştırdığını gösterdi. daha sonra dizinin içeriğini tekrar silin. Aqua araştırmacıları, C2 sunucusundan gelen ikincil yükün, biri Monero kripto para madencisi olan iki farklı rootkit için indirici görevi gören, paketlenmiş bir ELF (Yürütülebilir ve Bağlanabilir Format) ikili programı olduğunu buldu. Aqua, Virus Total’deki kötü amaçlı yazılım tespit motorlarının ikincil ELF ikili yükünü tespit edemediğini söyledi.
Morag, “Bu sunucular büyük verileri işlemek için tasarlandıkları için yüksek CPU yeteneklerine sahipler” diyor. “Saldırgan bu gerçeği, aynı zamanda önemli miktarda CPU kaynağı gerektiren kripto madencilerini çalıştırmak için kullanıyor.”
Morag, saldırganın kötü niyetli faaliyetlerini gizlemek için kullandığı farklı teknikler nedeniyle saldırının dikkate değer olduğunu söylüyor. Bunlar arasında, ELF ikili dosyasını gizlemek için bir paketleyicinin kullanılması, analizi daha zorlu hale getirmek için soyulmuş yüklerin kullanılması, ELF ikili dosyasında gömülü bir veri yükü, dosya ve dizin izin değişiklikleri ve kripto madencisi ile kabuğu gizlemek için iki rootkit’in kullanılması yer alıyordu. komutlar.