Apache Hadoop构建FICORA僵尸网络0day利用漏洞完整代码

直接回应Radware对2018年10月25日早些时候影响Hadoop集群的DemonBot恶意软件新发现的分析的发布，0x20k的GhostSquadHackers发布了用于构建他最新版本的0day漏洞的完整源代码。模型;FICORA僵尸网络。0x20k，也被认为是YasakuBotnet的作者，是下面提供的0day漏洞利用的合着者。

与迄今为止感染70台服务器的DemonBot不同，20k声称已感染超过1,000台，有可能超过350GBPS-通过Voxility验证。

根据20k，也称为URHARMFUL，现在臭名昭着的DemonBot恶意软件的作者从Owari的一位作者那里得到了他的源代码，并在2018年9月在线倾销之前将其从服务器上偷走了。这样，DemonBot的赞誉就是走向错误的人，这就是为什么20k决定在野外释放他的利用以验证所有权之前，任何人试图从他身上偷走它。20k还发布了几个视频，测试他对不同服务器和服务的各种攻击，包括OVH，NFO，ProxyPipe和Mineplex-据称从110GBPS到200GBPS。

就两个机器人的运作方式而言，它们是截然不同的。例如，DemonBot通过端口6982感染22或23，具体取决于Python或Perl的可用性以及设备/服务器上的telnetd。

而FICORA通过端口8088感染。在Demonbot上，支持的DDoS攻击向量是UDP和TCP泛洪，而FICORA利用TCP/32上的URGFlood。此外，DemonBot仅仅是一个更名的版本Lizkebab，而FICORA类似于未来-但具有不同的功能。

Rogue安全实验室已与多个受影响的服务联系，以确认攻击的有效性。虽然OVH拒绝就此事发表评论，但NFO总裁兼首席执行官JohnakaEdge100x确认了针对其服务器的每一次攻击-其中有3次。然而，ProxyPipe对我的电子邮件采取了防御姿态，声称他们的服务器从未崩溃，公司从未见过接近200GBPS的任何东西。

完整0day漏洞利用代码