Demonbot

Demonbot is de naam van een botnet en een malware die wordt gebruikt om Internet of Things (IoT) -apparaten te infecteren. De onderliggende code van de dreiging is gebaseerd op het Mirai Botnet , een trojan die IoT-apparaten infecteert waarvan de broncode in 2016 online werd vrijgegeven.

Demonbot speurt het web af naar geschikte apparaten voor apparaten en maakt gebruik van de Hadoop-kwetsbaarheid om ze te compromitteren. In de praktijk maakt de malware misbruik van een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code in de YARN-module (Yet Another Resource Negotiator). Deze specifieke module is door organisaties voornamelijk gebruikt voor taakplanning en clusterresourcebeheer.

Hoewel Demonbot al een tijdje publiekelijk bekend is, lijkt het erop dat sommige cybercriminelen er nog steeds naar kijken vanwege hun bedreigende activiteiten. Er is inderdaad een recente aanval op IoT-apparaten gezien met een variant van Demonbot naast een andere Mirai Botnet-variant die is ontwikkeld door Scarface. De campagne is gericht op een enkele poort - 60001, terwijl verschillende andere poorten lijken te worden gebruikt als afleiding of aas. Volgens de onderzoekers is 60001 een veel gebruikte poort onder IoT-apparaten, waarvan de meerderheid de Defeway-camera's zijn, die meer dan 90% van alle camera's op deze poort in beslag nemen.