Demonbot

Demonbot je název botnetu a malwaru používaného k infikování zařízení internetu věcí (IoT). Základní kód hrozby je založen na Mirai Botnet , trojském koně infikujícím zařízení IoT, u kterého byl jeho zdrojový kód zveřejněn online již v roce 2016.

Demonbot vyhledává na webu vhodná zařízení a využívá zranitelnost Hadoop k jejich kompromisu. V praxi malware využívá chybu zabezpečení neověřeného vzdáleného spuštění kódu v modulu YARN (Yet Another Resource Negotiator). Tento konkrétní modul organizace používají především pro plánování úloh a správu prostředků klastru.

Zatímco Demonbot je již nějakou dobu veřejně známý, zdá se, že někteří kyberzločinci se na něj stále obracejí kvůli svým hrozivým aktivitám. Nedávný útok na zařízení IoT byl skutečně nesen variantou Demonbot spolu s další variantou Mirai Botnet vyvinutou společností Scarface. Kampaň je zaměřena na jeden port - 60001, zatímco několik dalších portů se zdá být použito jako odklon nebo návnada. Podle výzkumníků je 60001 široce používaný port mezi zařízeními IoT, přičemž většinu tvoří kamery Defeway, které zabírají více než 90% všech kamer na tomto portu.