僵尸病毒的开发者显然已经从开发物联网（IoT）恶意软件中吸取了教训，并将工作重点转向针对商用Linux服务器。与许多物联网设备一样，在互联网上同样充斥着大量未打补丁的Linux服务器，而攻击者会向他们所能找到的每一台易受攻击服务器发送漏洞利用代码，从而对它们进行大规模的滥用。

网络安全公司Netcout表示，他们一直在监控其蜜罐网络中针对Hadoop YARN漏洞的利用尝试，并发现了一个熟悉但令人惊讶的有效载荷（payload）——Mirai。这些新的Mirai变种的行为与最初的版本非常相似，但它们显然是为Linux服务器定制的，而不是物联网设备。

需要指出的是，网络安全公司Netcout 在之前就已经发表过针对Window设备的Mirai变种的调查结果，但这是他们第一次在攻击尝试中看到并非针对物联网设备的Mirai。

主要发现

• 针对Linux服务器的Mirai僵尸病毒不再为特定的架构（如x86、x64、ARM、MIPS或ARC）定制恶意软件，它们假定目标使用的是x86。
• 攻击者并不依赖于“肉鸡（bot）”来传播僵尸病毒，而是通过漏洞利用。其中，少部分攻击者正在使用自定义工具来利用Hadoop YARN漏洞。
• 即使易受攻击Hadoop YARN服务器没有运行telnet服务，攻击者这也会尝试使用telnet出厂默认凭证来进行暴力破解。
• Linux服务器相比物联网设备拥有更多的可利用资源，在被成功感染后能够成为效率更高的DDoS肉鸡。也就是说，由少数几台Linux服务器构成的僵尸网络就能够媲美由大量物联网设备构成的僵尸网络。

攻击细节

Hadoop YARN漏洞的利用相对简单，这个命令注入漏洞允许攻击者执行任意shell命令。上个月，另一家网络安全公司Radware就曾发现，这个漏洞被用于安装DemonBot DDoS僵尸病毒。在很多方面，这个漏洞与Netcout 在物联网设备中发现的其他漏洞类似。例如，CVE-2014-8361（存在于Realtek的UPnP SOAP接口中的一个漏洞）也可以通过向具有特定参数的特殊端口发送HTTP请求来诱导shell命令的执行来利用，而该漏洞也曾被用于提供Mirai变种。

Netcout公司表示，他们的全球蜜罐网络一直在追踪针对Hadoop YARN漏洞的利用尝试。正如下面的图1所示，他们每天都会监测到有数以万计的利用尝试。

图1：Hadoop YARN漏洞利用尝试次数

令人惊讶的是，数量如此之多的漏洞利用尝试居然均是由少数几个特定来源发起的。图2展示了在同一时间段内发起Hadoop YARN漏洞利用尝试的唯一IP地址的数量。

图2：唯一IP地址的数量

如果我们仔细对比在图3中列出的发出这些漏洞利用尝试的前5个用户代理，就可以看出攻击者使用的是Python请求库来交付HTTP有效载荷。

图3：前5个用户代理

鉴于漏洞利用尝试仅来自于少数几个特定来源，以及恶意软件有效载荷都是通过对Hadoop YARN漏洞利用来传播的，而不是以蠕虫方式，并且有效载荷均采用Python编写，这些因素加在一起使得Netcout公司相信，新的攻击仅涉及少数几个攻击者通过手动扫描互联网来利用Hadoop YARN漏洞。

如图4所示，由Netcout公司观察到漏洞利用代码都具有一个相同的功能——从URL中提取恶意软件二进制文件并执行它。

图4：典型的漏洞利用代码

不同之处在于漏洞利用中提供的恶意软件。Netcout公司表示，他们在11月份观察到了225个独特的二进制文件。其中，有超过一半（152）的二进制文件是由同一个IP地址交付，并且至少有十几个显然是Mirai变种。

图5：“VPNFilter”Mirai 变种

其中，一个最令Netcout公司感兴趣的Mirai变种被命名为“VPNFilter”（2bcca8ac8d4d80f6740ef14d521284c0，如图5所示）。它与针对物联网设备的Mirai变种的一个最主要区别在于——它针对x86设备。

在沙箱中运行“VPNFilter”时，Netcout公司立即注意到它会尝试使用telnet出厂默认凭证来进行暴力破解。在成功找到一台易受攻击的设备之后，它不会直接在设备上安装恶意软件，而是向C&C服务器上传设备的IP地址、用户名和密码。然后，攻击者会对僵尸病毒进行手动安装。

总结

Mirai不再是仅仅针对物联网设备，而是转向了针对Linux服务器提供。攻击者只将运行x86的Linux服务器作为攻击目标显然要比在攻击使用各种不同CPU的物联网设备要更加更容易。

有限数量的Hadoop YARN漏洞利用尝试来源可能表明，新的攻击是由一小群攻击者发起的。另外，他们的目标也很明确——将Mirai僵尸病毒安装到尽可能多的设备上。一旦建立了立足点，僵尸病毒会使用telnet默认用户名和密码来进行暴力破解。