БАШЛИТ - BASHLITE

БАШЛИТ
Оригинальный автор (ы)Отряд Ящериц
Написано вC
Операционная системаLinux
ТипБотнет

БАШЛИТ (также известен как Гафгыт, Лизкебаб, Qbot, Торлус и Ящерица) является вредоносное ПО который заражает Linux системы для запуска распределенные атаки типа "отказ в обслуживании" (DDoS).[1] Первоначально он был также известен под названием Bashdoor,[2] но теперь этот термин относится к методу эксплойта, используемому вредоносной программой. Он использовался для запуска атак до 400 Гбит / с.[3]

Первоначальная версия 2014 года использовала недостаток в трепать оболочка - Shellshock программная ошибка - использовать работающие устройства BusyBox.[4][5][6][7] Спустя несколько месяцев был обнаружен вариант, способный заразить и другие уязвимые устройства в локальной сети.[8] В 2015 году произошла утечка его исходного кода, что привело к увеличению количества различных вариантов,[9] а к 2016 году сообщалось, что был заражен один миллион устройств.[10][11][12][13]

Из идентифицируемых устройств, участвовавших в этих ботнетах в августе 2016 года, почти 96 процентов были Интернет вещей устройства (из которых 95 процентов были фотоаппаратами и Видеорегистраторы ), примерно 4 процента были домашние роутеры - и менее 1 процента были скомпрометированы Серверы Linux.[9]

Дизайн

БАШЛИТ написан на C, и предназначен для простой кросс-компиляции с различными компьютерные архитектуры.[9]

Точные возможности различаются между вариантами, но наиболее общие функции[9] генерировать несколько различных типов DDoS-атак: может держать TCP соединения, отправить случайную строку ненужных символов в TCP или UDP порт, или повторно отправить TCP пакеты с указанными флагами. У них также может быть механизм для запуска произвольных команд оболочки на зараженной машине. Нет условий для отраженный или же атаки усиления.

BASHLITE использует клиент-серверная модель для управления и контроля. Протокол, используемый для связи, по сути, является облегченной версией Интернет-чат (IRC).[14] Несмотря на то, что он поддерживает несколько серверов управления и контроля, в большинстве вариантов жестко запрограммирован только один IP-адрес управления и контроля.

Он распространяется через грубое принуждение, используя встроенный словарь общих имен пользователей и паролей. Вредоносная программа подключается к случайным IP-адресам и пытается войти в систему, при этом информация об успешном входе возвращается на сервер управления.

Смотрите также

Рекомендации

  1. ^ Чимпану, Каталин (30 августа 2016 г.). «Вокруг таится 120-тысячный IoT-ботнет DDoS». Софтпедия. Получено 19 октября 2016.
  2. ^ Тунг, Лиам (25 сентября 2014 г.). «Обнаружены первые атаки с использованием Shellshock Bash». ZDNet. Получено 25 сентября 2014.
  3. ^ Эшфорд, Уорик (30 июня 2016 г.). «Ботнет LizardStresser IoT запускает DDoS-атаку со скоростью 400 Гбит / с». Computer Weekly. Получено 21 октября 2016.
  4. ^ Ковач, Эдуард (14 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ShellShock для взлома устройств, на которых запущен BusyBox». SecurityWeek.com. Получено 21 октября 2016.
  5. ^ Ханделвал, Свати (17 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ошибку ShellShock для взлома устройств, на которых запущен BusyBox». Хакерские новости. Получено 21 октября 2016.
  6. ^ Паганини, Пьерлуиджи (16 ноября 2014 г.). «Новый вариант BASHLITE заражает устройства с BusyBox». Вопросы безопасности. Получено 21 октября 2016.
  7. ^ "Эксплуатация уязвимости Bash (Shellshock) в дикой природе ведет к появлению вредоносного ПО BASHLITE". Trend Micro. 25 сентября 2014 г.. Получено 19 марта 2017.
  8. ^ Иносенсио, Рена (13 ноября 2014 г.). «BASHLITE влияет на устройства, работающие на BusyBox». Trend Micro. Получено 21 октября 2016.
  9. ^ а б c d "Атака вещей!". Лаборатории исследования угроз уровня 3. 25 августа 2016 г. Архивировано с оригинал 3 октября 2016 г.. Получено 6 ноября 2016.
  10. ^ «Вредоносная программа BASHLITE превращает миллионы IoT-устройств на базе Linux в DDoS-ботнет». Полный круг. 4 сентября 2016 г.. Получено 21 октября 2016.
  11. ^ Мастерс, Грег (31 августа 2016 г.). «Миллионы устройств Интернета вещей зачислены в DDoS-боты с помощью вредоносного ПО Bashlite». SC Magazine. Получено 21 октября 2016.
  12. ^ Весна, Том (30 августа 2016 г.). «Семейство вредоносных программ BASHLITE заразило 1 миллион устройств Интернета вещей». Threatpost.com. Получено 21 октября 2016.
  13. ^ Ковач, Эдуард (31 августа 2016 г.). «Ботнеты BASHLITE захватывают 1 миллион устройств Интернета вещей». Неделя безопасности. Получено 21 октября 2016.
  14. ^ Бинг, Мэтью (29 июня 2016 г.). "Мозг ящерицы LizardStresser". Arbor Networks. Получено 6 ноября 2016.