БАШЛИТ

Вредоносное ПО для систем Linux

BASHLITE (также известный как Gafgyt , Lizkebab , PinkSlip , Qbot , Torlus и LizardStresser ) — вредоносное ПО , которое заражает системы Linux с целью запуска распределенных атак типа «отказ в обслуживании» (DDoS). ^[1] Первоначально оно также было известно под названием Bashdoor , ^[2] но теперь этот термин относится к методу эксплуатации, используемому вредоносным ПО. Оно использовалось для запуска атак мощностью до 400  Гбит/с . ^[3]

Оригинальная версия 2014 года использовала уязвимость оболочки bash — программную ошибку Shellshock — для эксплуатации устройств, работающих под управлением BusyBox . ^{[4] [5] [6] [7]} Несколько месяцев спустя был обнаружен вариант, который также мог заражать другие уязвимые устройства в локальной сети. ^[8] В 2015 году его исходный код был раскрыт, что привело к появлению множества различных вариантов, ^[9] а к 2016 году сообщалось о заражении миллиона устройств. ^{[10] [11] [12] [13]}

Из идентифицированных устройств, участвовавших в этих ботнетах в августе 2016 года, почти 96 процентов были устройствами IoT (из которых 95 процентов были камерами и цифровыми видеорегистраторами ), примерно 4 процента были домашними маршрутизаторами , и менее 1 процента были скомпрометированными серверами Linux . ^[9]

Дизайн

BASHLITE написан на языке C и разработан для легкой кросс-компиляции на различных компьютерных архитектурах . ^[9]

Точные возможности различаются между вариантами, но наиболее распространенные функции ^[9] генерируют несколько различных типов атак DDoS: он может удерживать открытые TCP- соединения, отправлять случайную строку ненужных символов на порт TCP или UDP или многократно отправлять TCP- пакеты с указанными флагами. Они также могут иметь механизм для запуска произвольных команд оболочки на зараженной машине. Нет никаких возможностей для отраженных или усиливающих атак .

BASHLITE использует модель клиент-сервер для управления и контроля. Протокол, используемый для связи, по сути, является облегченной версией Internet Relay Chat (IRC). ^[14] Несмотря на то, что он поддерживает несколько серверов управления и контроля, большинство вариантов имеют только один жестко закодированный IP-адрес управления и контроля .

Он распространяется через brute forcing , используя встроенный словарь общих имен пользователей и паролей. Вредоносная программа подключается к случайным IP-адресам и пытается войти в систему, а успешные входы отправляются обратно на сервер управления и контроля.

Смотрите также

• Атака типа «отказ в обслуживании» (DoS)
• Вилочная бомба
• Хадзимэ (вредоносное ПО)
• ЛОИК
  • Высокоорбитальная ионная пушка – замена LOIC, используемой в DDoS-атаках
  • Низкоорбитальная ионная пушка – инструмент для стресс-тестирования, который использовался для DDoS-атак
• Mirai (вредоносное ПО)
• ReDoS
• Slowloris (компьютерная безопасность)

Ссылки

1. Cimpanu, Catalin (30 августа 2016 г.). «Вокруг скрывается 120-тысячная сеть DDoS-ботов IoT». Softpedia . Получено 19 октября 2016 г.
2. Tung, Liam (25 сентября 2014 г.). «Обнаружены первые атаки с использованием ошибки shellshock Bash». ZDNet . Получено 25 сентября 2014 г.
3. Эшфорд, Уорик (30 июня 2016 г.). «Ботнет LizardStresser IoT запускает DDoS-атаку мощностью 400 Гбит/с». Computer Weekly . Получено 21 октября 2016 г.
4. Ковач, Эдуард (14 ноября 2014 г.). «BASHLITE Malware использует ShellShock для взлома устройств, на которых запущен BusyBox». SecurityWeek.com . Получено 21 октября 2016 г.
5. Khandelwal, Swati (17 ноября 2014 г.). "BASHLITE Malware использует ShellShock Bug для взлома устройств, на которых запущен BusyBox". The Hacker News . Получено 21 октября 2016 г.
6. Паганини, Пьерлуиджи (16 ноября 2014 г.). «Новый вариант BASHLITE заражает устройства, работающие под управлением BusyBox». Security Affairs . Получено 21 октября 2016 г.
7. «Эксплойт уязвимости Bash (Shellshock) появляется в дикой природе, приводит к вредоносному ПО BASHLITE». Trend Micro . 25 сентября 2014 г. Получено 19 марта 2017 г.
8. Inocencio, Rhena (13 ноября 2014 г.). «BASHLITE влияет на устройства, работающие на BusyBox». Trend Micro . Получено 21 октября 2016 г.
9. "Атака вещей!". Level 3 Threat Research Labs . 25 августа 2016 г. Архивировано из оригинала 3 октября 2016 г. Получено 6 ноября 2016 г.
10. "BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet". Full Circle . 4 сентября 2016 г. Архивировано из оригинала 22 октября 2016 г. Получено 21 октября 2016 г.
11. Мастерс, Грег (31 августа 2016 г.). «Миллионы устройств IoT были вовлечены в DDoS-боты с вредоносным ПО Bashlite». Журнал SC . Получено 21 октября 2016 г.
12. Спринг, Том (30 августа 2016 г.). «Семейство вредоносных программ BASHLITE заражает 1 миллион устройств Интернета вещей». Threatpost.com . Получено 21 октября 2016 г.
13. Ковач, Эдуард (31 августа 2016 г.). «BASHLITE Botnets Ensnare 1 Million IoT Devices». Security Week . Получено 21 октября 2016 г. .
14. Бинг, Мэтью (29 июня 2016 г.). «Мозг ящерицы LizardStresser». Arbor Networks . Получено 6 ноября 2016 г.