Demonbot

Demonbot to nazwa botnetu i złośliwego oprogramowania używanego do infekowania urządzeń Internetu rzeczy (IoT). Podstawowy kod zagrożenia opiera się na Mirai Botnet , trojanie infekującym urządzenia IoT, którego kod źródłowy został ujawniony online w 2016 roku.

Demonbot przeszukuje Internet w poszukiwaniu odpowiednich urządzeń i wykorzystuje lukę Hadoop, aby je złamać. W praktyce szkodliwe oprogramowanie wykorzystuje lukę umożliwiającą zdalne wykonanie nieuwierzytelnionego kodu w module YARN (Yet Another Resource Negotiator). Ten konkretny moduł był używany przez organizacje głównie do planowania zadań i zarządzania zasobami klastra.

Chociaż Demonbot jest publicznie znany od dłuższego czasu, wydaje się, że niektórzy cyberprzestępcy wciąż zwracają się do niego ze względu na swoje groźne działania. Rzeczywiście, niedawny atak na urządzenia IoT był widziany przy użyciu wariantu Demonbota obok innego wariantu Mirai Botnet, który został opracowany przez Scarface. Kampania jest skierowana do jednego portu - 60001, podczas gdy kilka innych portów wydaje się być wykorzystywanych jako dywersja lub przynęta. Według naukowców port 60001 jest szeroko stosowanym portem wśród urządzeń IoT, z których większość to kamery Defeway, które zajmują ponad 90% wszystkich kamer na tym porcie.