TeamTNT变种攻击Hadoop集群,云上服务对外开放需谨慎-阿里云开发者社区

开发者社区> 云安全专家> 正文

TeamTNT变种攻击Hadoop集群,云上服务对外开放需谨慎

简介: 近日,阿里云安全监测到TeamTNT变种,除了沿用之前攻击手法,最新利用了Hadoop Yarn未授权访问漏洞进行传播,同时使用多个域名和IP确保恶意文件落地,对脚本进行二进制化封装以对抗主机端检测。
+关注继续查看

概述


近日,阿里云安全监测到TeamTNT变种,除了沿用之前攻击手法,最新利用了Hadoop Yarn未授权访问漏洞进行传播,同时使用多个域名和IP确保恶意文件落地,对脚本进行二进制化封装以对抗主机端检测。


Hadoop作为一个分布式计算应用框架,种类功能繁多,而Hadoop Yarn作为其核心组件之一,负责将资源分配至各个集群中运行各种应用程序,并调度不同集群节点上的任务执行。Hadoop Yarn未授权访问使得攻击者无需认证即可通过REST API部署命令来执行恶意命令。Hadoop作为大数据计算基础组件往往集群化部署,一旦一台主机沦陷其整个集群都将受到威胁,其对外暴露端口服务会造成极大威胁。阿里云安全持续对该BOT进行监控,发现近期传播有所上升,提醒广大用户注意防护。


传播手段


Hadoop Yarn作为Hadoop核心组件之一,负责将资源分配至各个集群中运行各种应用程序,并调度不同集群节点上的任务执行。其官网(https://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/YARN.html)介绍: ResourceManager 和 NodeManager 构成了数据计算框架。ResourceManager 是在系统中的所有应用程序之间仲裁资源的最终权威。NodeManager 是每台机器的框架代理,负责容器、监控其资源使用情况(cpu、内存、磁盘、网络)并将其报告给ResourceManager/Scheduler。每个应用程序的 ApplicationMaster 实际上是一个特定于框架的库,其任务是协商来自 ResourceManager 的资源并与NodeManager 一起执行和监视任务。


1.jpg

由于集群化部署的特点,攻击者很容易通过攻击Hadoop Yarn ResourceManager达到控制整个集群的目的,以下是本次TeamTNT变种的主要攻击利用手段。


2.jpg

阶段分析

3.jpg

漏洞利用分析

Hadoop Yarn作为其核心组件之一,负责将资源分配至各个集群中运行各种应用程序,并调度不同集群节点上的任务执行,攻击者通过REST API携带恶意命令即可进行远程命令执行。如下是云上抓取到攻击的Payload。

4.jpg

攻击者不仅沿用了之前的恶意域名oracle.htxreceive.top,同时新起了域名crypto.htxreceive.top,为防止域名被Sinkhole还加入IP作为下载源确保下载命令能够正常执行。


简要分析


TeamTNT变种从(hxxp://oracle.htxreceive.top/s3f715/i.jpg)下载ELF,该文件在作用于执行脚本,有利的绕过主机对于shell脚本的检测,如图可见程序进入主函数后只执行了四句程序。

5.jpg

通过还原程序数据区域我们得到了调用shell脚本的具体内容如下。

6.jpg

TeamTNT为了避免脚本被查杀,还会以不同URL路径进行挂载,如下是其中一个域名下批量化挂载脚本相似度对比,四个文件相似度在94%以上。

7.jpg

8.jpg


我们对不同的脚本进行分析、总结、提炼,其TeamTNT变种脚本主体功能没有太大变化,具体可以总结如下:

9.jpg

安全建议


  1. 云防火墙利用大数据对互联网上最新出现RCE进行实时监控,从RCE披露到响应时间整体小于3小时,能够有效阻止客户资产被RCE漏洞攻击,其支持3-7层协议不仅满足对Web网站的HTTP协议的防护,同时支持4层大量TCP/UDP协议的防御。当前云防火墙默认支持对Hadoop Yarn未授权远程命令执行漏洞的防御。

10.jpg


  1. 云防火墙智能策略依据历史流量自学习,提供符合客户业务暴露面收敛的最佳实践,通过“一键下发”或“自主选择”可以实现资产的最大程度的互联网暴露收敛,避免端口对外不当暴露风险,同时有效阻止“重保模式”下网络空间测绘的扫描行为。

11.jpg


IOC

IP

185.117.75.175

Domain

crypto.htxreceive.top

oracle.htxreceive.top

pubzone.htxreceive.top

URL

http://crypto.htxreceive.top/s3f815/a/a.sh

http://crypto.htxreceive.top/s3f815/b/a.sh

http://crypto.htxreceive.top/s3f815/c/a.sh

http://crypto.htxreceive.top/s3f815/d/a.sh

http://crypto.htxreceive.top/s3f815/a/ar.sh

http://crypto.htxreceive.top/s3f815/b/ar.sh

http://crypto.htxreceive.top/s3f815/c/ar.sh

http://crypto.htxreceive.top/s3f815/d/ar.sh

http://crypto.htxreceive.top/s3f815/a/ai.sh

http://crypto.htxreceive.top/s3f815/d/ai.sh

http://crypto.htxreceive.top/s3f815/c/ai.sh

http://crypto.htxreceive.top/s3f815/d/ai.sh

http://crypto.htxreceive.top/s3f815/d/b.sh

http://crypto.htxreceive.top/s3f815/s/1.0.4.tar.gz

http://crypto.htxreceive.top/s3f815/s/avg.tar.gz

http://crypto.htxreceive.top/s3f815/s/p.tar

http://crypto.htxreceive.top/s3f815/s/htx-i.x86_64

http://crypto.htxreceive.top/s3f815/s/zgrab

http://185.117.75.175/s3f815/cronb.sh

http://185.117.75.175/s3f815/h.sh
http://oracle.htxreceive.top/s3f715/i.sh

http://oracle.htxreceive.top/s3f715/i.jpg


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云容器服务新建集群优化方案
前言 选择阿里云的容器服务,主要原因是公司主要业务基本都运行在阿里云上。相较自建 kubernetes 集群,容器服务的优势在于部署相对简单,与阿里云 VPC 完美兼容,网络的配置相对简单,而如果使用 kubeadmin 安装部署 kubernetes 集群,除了众所周知的科学上网问题,还有一系列的问题,包括 etcd 、 scheduler 和 controller-manager 的高可用问题等。
1294 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10084 0
华东 1、华东 2、华北 1、华北 2、华南 1 服务器分别都在哪个城市
华东 1、华东 2、华北 1、华北 2、华南 1 分别都是哪个位置 地域名称 华北 1 华北 2 华东 1 华东 2 华南 1 香港 亚太东南 1 亚太东南 2 亚太东北 1 美国西部 1 美国东部 1 欧洲中部 1 中东东部 1所在城市 青岛 北京 杭州 上海 深圳 香港 新加坡 悉尼 东.
2333 0
阿里云容器服务新建集群优化方案(更新版)-使用控制台创建与ingress绑定的SLB
本文为之前博文 阿里云容器服务新建集群优化方案:https://yq.aliyun.com/articles/696136 的补充,使用控制台可以更快速的创建于 ingress 绑定的VPC 类型 SLB
998 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10883 0
阿里云服务网格ASM公测来袭系列之五:部署应用到ASM的数据面集群中
本文介绍如何将一个应用示例部署到服务网格ASM 实例中的数据面集群中。
433 0
华东 1、华东 2、华北 1、华北 2、华南 1 服务器分别都在哪个城市
华东 1、华东 2、华北 1、华北 2、华南 1 分别都是哪个位置 地域名称 华北 1 华北 2 华东 1 华东 2 华南 1 香港 亚太东南 1 亚太东南 2 亚太东北 1 美国西部 1 美国东部 1 欧洲中部 1 中东东部 1所在城市 青岛 北京 杭州 上海 深圳 香港 新加坡 悉尼 东京 .
2050 0
【Hadoop Summit Tokyo 2016】限制不断变化的多租户日志服务
本讲义出自Ambud Sharma与Suma Cherukuri在Hadoop Summit Tokyo 2016上的演讲,主要介绍了什么是多租户日志服务以及多租户日志服务的架构设计,并分享了Streaming Pipeline的相关知识以及多租户日志服务的不断变化的问题和解决方案。
1606 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13890 0
阿里云服务网格多集群应用统一流量管理
服务网格多集群应用统一流量管理示例
234 0
+关注
云安全专家
阿里云安全
322
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载