Mirai殭屍網路捲土重來，這次瞄準Linux伺服器

近年數度感染數十萬台路由器的殭屍網路程式Mirai，雖然原創者已經落網判刑，但是Mirai餘孽卻在網路上持續變種，現在安全人員發現，Mirai已經將焦點轉向Linux伺服器了。

安全公司Netcout 的誘捕系統10月間偵測到網路上有多個IP對Hadoop YARN資源管理伺服器的程式碼注入漏洞發動攻擊，經過解析，發現其中有少部份竟是來自Mirai變種。這讓研究人員大吃一驚，因為過去Mirai一向鎖定連網攝影機或家用路由器等物聯網（IoT）裝置。雖然Mirai也曾被發現攻擊Windows裝置，但這是研究團隊第一次發現非以IoT裝置為目標的Mirai變種。研究人員稱之為VPNFilter。

研究人員Matthew Bing指出，VPNFilter和純IoT的Mirai多所不同。首先，以前的Mirai變種會猜測受害裝置是哪種架構—x86、x64、ARM、MIPS、ARC—再下載相應的執行檔。但VPNFilter卻假定Hadoop YARN服務是跑在市售x86 Linux伺服器。

即使Hadoop YARN伺服器並未跑telnet服務，但是VPNFilter還是會透過telnet暴力破解裝置的預設用戶名稱和密碼。此外，當它發現有漏洞的目標裝置，並不像以前直接安裝、擴散惡意程式，而是會將目標的IP位置、用戶名稱和密碼回報外部伺服器，再由少數的攻擊者自動安裝殭屍程式。

研究人員表示，這顯示了Mirai變種作者攻擊策略的一大轉變，因為位於資料中心內的Linux伺服器能比IoT裝置享有更大頻寬，能更有效發動分散式阻斷服務（DDoS）攻擊。只要感染幾台Linux 伺服器，效果就超過為數眾多的Iot裝置還要好。

Hadoop YARN的指令注入漏洞可允許外部駭客執行任意殼程式指令，目前沒有修補程式，被列為高嚴重程度。但上周安全公司Radware首先發現已經有名為DemonBot DDoS的殭屍程式開採。