Mirai僵尸网络重出江湖

近年数度感染数十万台路由器的僵尸网络程序Mirai，虽然原创者已经落网判刑，但是Mirai余孽却在网络上持续变种，现在安全人员发现，Mirai已经将焦点转向Linux服务器了。

安全公司Netcout的诱捕系统10月间侦测到网络上有多个IP对Hadoop YARN资源管理服务器的程序码注入漏洞发动攻击，经过解析，发现其中有少部份竟是来自Mirai变种。这让研究人员大吃一惊，因为过去Mirai一向锁定连网摄影机或家用路由器等物联网（IoT）设备。虽然Mirai也曾被发现攻击Windows设备，但这是研究团队第一次发现非以IoT设备为目标的Mirai变种。研究人员称之为VPNFilter。

研究人员Matthew Bing指出，VPNFilter和纯IoT的Mirai多所不同。首先，以前的Mirai变种会猜测受害装置是哪种架构—x86、x64、ARM、MIPS、ARC—再下载相应的执行档。但VPNFilter却假定Hadoop YARN服务是跑在市售x86 Linux服务器。

即使Hadoop YARN服务器并未跑telnet服务，但是VPNFilter还是会通过telnet暴力破解设备的预设用户名称和密码。此外，当它发现有漏洞的目标设备，并不像以前直接安装、扩散恶意程序，而是会将目标的IP位置、用户名称和密码回报外部服务器，再由少数的攻击者自动安装僵尸程序。

研究人员表示，这显示了Mirai变种作者攻击策略的一大转变，因为位于资料中心内的Linux服务器能比IoT设备享有更大频宽，能更有效发动分布式阻断服务（DDoS）攻击。只要感染几台Linux服务器，效果就超过为数众多的IoT设备还要好。

Hadoop YARN的指令注入漏洞可允许外部骇客执行任意壳程序指令，目前没有修补程序，被列为高严重程度。但上周安全公司Radware首先发现已经有名为DemonBot DDoS的僵尸程序开始出现。