黑客利用软件配置错误实现对 Hadoop 和 Flink 的加密劫持

Aqua Security披露了Apache产品的安全漏洞。

网络安全研究人员发现一种新型攻击，利用Apache Hadoop和Flink软件中的配置缺陷，在目标系统上部署了加密货币矿工。

Aqua Security的研究人员在1月8日发布的报告中指出：“由于攻击者采用shell程序和rootkit来隐匿恶意软件，因此这次攻击具有特殊的迷惑性。” 该恶意软件会删除特定目录的内容并修改系统配置，以规避检测。

Apache Hadoop感染链利用了YARN（Yet Another Resource Negotiator）资源管理器的配置错误，该资源管理器负责追踪集群中的资源并调度应用程序。

具体而言，这一缺陷允许未经身份验证的远程攻击者通过特制的HTTP请求执行任意代码，具体效果取决于用户在执行代码的主机上的权限。针对Apache Flink的类似攻击同样针对错误配置，该配置允许远程攻击者在无需任何身份验证的情况下执行代码。

这些漏洞并非新现象，先前曾有组织以经济利益为动机（例如TeamTNT）利用这些漏洞进行攻击，以在Docker和Kubernetes中进行加密劫持和其他恶意活动而声名鹊起。然而，最新的攻击引人注目的地方在于，在成功渗透Hadoop和Flink应用程序后，攻击者使用rootkit来隐匿加密货币挖掘过程。

攻击始于攻击者发送未经身份验证的请求以部署新应用程序，随后向YARN发送POST请求，要求执行特定命令以启动该新应用程序。该命令的目的是在执行过程中清空/tmp目录下的所有现有文件，从远程服务器下载名为“dca”的文件并执行，最后再次清空/tmp目录下的所有文件。

运行的代码是一个打包的ELF二进制文件，该文件加载了两个rootkit和一个门罗币矿工二进制文件。为了确保攻击的持久性，攻击者创建了一个cron作业，用于下载并执行部署“dca”二进制文件的shell脚本。

通过对攻击者基础设施的分析，发现用于下载有效负载的服务器在2023年10月31日注册。

为缓解此类攻击，建议组织部署基于代理的安全解决方案，以检测加密货币挖矿程序、rootkit、打包的二进制文件以及其他可疑活动。

转自安全客，原文链接：https://www.anquanke.com/post/id/292629