网络安全公司Radware的研究人员发现了一个名为DemonBot的新型僵尸网络，它针对Hadoop集群，对第三方发起DDoS攻击。

黑客利用DemonBot僵尸网络瞄准的目标是Hadoop YARN（Yet Another Resource Negotiator，Hadoop集群的资源管理系统）中未经身份验证的远程执行命令。

DemonBot bot仅感染中央服务器， 尽管如此，研究人员也已发现70多台主动攻击的服务器（“肉鸡”）正以每天超过100万次的频率攻击目标系统，并向其传播DemonBot僵尸病毒。

Radware的安全专家称，“虽然我们目前没有找到任何证据表明DemonBot正积极瞄准物联网设备，但Demonbot遵循Mirai构建原则，并不局限于x86 Hadoop服务器，能够在大多数已知的物联网设备上运行。”

研究人员发现，Demonbot的开发者实际上已于9月底在Pastebin上公布了该僵尸病毒的源代码。内容包含命令和控制服务器DemonCNC的源代码以及适用于多平台“肉鸡”的Python构建脚本。

DemonBot C＆C服务器提供两种服务：

一是允许该僵尸网络注册并监听来自服务器的新命令;

二是远程访问CLI，允许管理员和潜在的“访客”控制该僵尸网络。

DemonBot启动时，以纯文本TCP方式连接到C＆C服务器（硬编码的IP和端口，默认端口6982）。

DemonBot首先收集受感染系统的信息，包括IP地址，端口号（22或23，取决于Python或Perl的可用性以及受感染服务器是否开启了telnetd服务），然后发送到C&C服务器。

攻击者可以向该僵尸网络发送以下命令：

该命令还包含一个用作网络掩码的<spoofit>参数，如果将<spoofit>参数设置为小于32，便可以隐藏该僵尸网络的源IP。

原文链接：https://securityaffairs.co/wordpress/77485/malware/demonbot-botnet-targets-hadoop.htm