Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
БАШЛИТ
Техническое названиеКак BashLite
  • ELF / Gafgyt. [Письмо]! Tr ( Fortinet )
  • Backdoor.Linux.BASHLITE. [Письмо] ( Trend Micro )

Как Гафгыт

  • ELF / Gafgyt. [Письмо]! Tr (Fortinet)
  • HEUR: Backdoor.Linux.Gafgyt. [Письмо] ( Касперский )
  • DDoS: Linux / Gafgyt.YA! MTB ( Microsoft )
  • ELF_GAFGYT. [Письмо] (Trend Micro)

Как QBot

  • Trojan-PSW.Win32.Qbot (Касперский)
  • Backdoor.Qbot ( Malwarebytes )
  • Win32 / Qakbot (Microsoft)
  • Bck / QBot (Панда)
  • Мал / Qbot- [письмо] ( Sophos )
  • W32.Qakbot ( Symantec )
  • BKDR_QAKBOT (Trend Micro)
  • TROJ_QAKBOT (Trend Micro)
  • TSPY_QAKBOT (Trend Micro)
  • WORM_QAKBOT (Trend Micro)
  • Бэкдор.Qakbot (VirusBuster)

Как PinkSlip

  • W32 / Pinkslipbot (McAfee)
Как Торлус
ПсевдонимыГафгыт , Лизкебаб , PinkSlip , Qbot , Torlus , LizardStresser
ТипБотнет
Авторы)Отряд Ящериц
Затронутые операционные системыLinux
Написано вC

BASHLITE (также известный как Gafgyt , Lizkebab , PinkSlip , Qbot , Torlus и LizardStresser ) - это вредоносное ПО, которое заражает системы Linux с целью запуска распределенных атак типа «отказ в обслуживании» (DDoS). [1] Первоначально он был также известен под названием Bashdoor , [2] но теперь этот термин относится к методу эксплойта, используемому вредоносной программой. Он использовался для запуска атак со скоростью до 400 Гбит / с . [3]

Первоначальная версия 2014 года использовала уязвимость в оболочке bash - программную ошибку Shellshock - для использования устройств, на которых запущен BusyBox . [4] [5] [6] [7] Несколько месяцев спустя был обнаружен вариант, который также мог заразить другие уязвимые устройства в локальной сети. [8] В 2015 году произошла утечка его исходного кода, что вызвало распространение различных вариантов [9], а к 2016 году сообщалось, что был заражен один миллион устройств. [10] [11] [12] [13]

Из идентифицируемых устройств, участвовавших в этих ботнетах в августе 2016 года, почти 96 процентов были устройствами IoT (из которых 95 процентов были камерами и видеорегистраторами ), примерно 4 процента были домашними маршрутизаторами и менее 1 процента были скомпрометированными серверами Linux . [9]

Дизайн [ править ]

BASHLITE написан на C и предназначен для простой кросс-компиляции для различных компьютерных архитектур . [9]

Точные возможности различаются между вариантами, но наиболее общие функции [9] генерируют несколько различных типов DDoS-атак: он может удерживать открытые TCP- соединения, отправлять случайную строку нежелательных символов на TCP- или UDP- порт или повторно отправлять TCP- пакеты с указанные флаги. У них также может быть механизм для запуска произвольных команд оболочки на зараженной машине. Нет никаких средств для отраженных или усиливающих атак .

BASHLITE использует модель клиент-сервер для управления и контроля. Протокол, используемый для связи, по сути, является облегченной версией Internet Relay Chat (IRC). [14] Несмотря на то, что он поддерживает несколько серверов управления и контроля, в большинстве вариантов жестко запрограммирован только один IP-адрес для управления и контроля.

Он распространяется методом грубой силы с использованием встроенного словаря общих имен пользователей и паролей. Вредоносная программа подключается к случайным IP-адресам и пытается войти в систему, и об успешном входе в систему сообщается на сервер управления и контроля.

См. Также [ править ]

  • Low Orbit Ion Cannon - инструмент стресс-теста, который использовался для DDoS-атак
  • High Orbit Ion Cannon - замена LOIC, используемого в DDoS-атаках
  • Атака отказа в обслуживании (DoS)
  • Вилочная бомба
  • Mirai (вредоносное ПО)
  • Hajime (вредоносное ПО)
  • Slowloris (компьютерная безопасность)
  • ReDoS

Ссылки [ править ]

  1. ^ Cimpanu, Каталин (30 августа 2016). «Вокруг скрывается 120-тысячный ботнет DDoS-атак для Интернета вещей» . Софтпедия . Проверено 19 октября +2016 .
  2. Тунг, Лиам (25 сентября 2014 г.). «Обнаружена первая атака с использованием Shellshock Bash» . ZDNet . Проверено 25 сентября 2014 года .
  3. Эшфорд, Уорик (30 июня 2016 г.). «Ботнет LizardStresser IoT запускает DDoS-атаку со скоростью 400 Гбит / с» . Computer Weekly . Проверено 21 октября +2016 .
  4. Ковач, Эдуард (14 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ShellShock для взлома устройств, на которых запущен BusyBox» . SecurityWeek.com . Проверено 21 октября +2016 .
  5. ^ Khandelwal, Свати (17 ноября 2014). «Вредоносное ПО BASHLITE использует ошибку ShellShock для взлома устройств, на которых запущен BusyBox» . Хакерские новости . Проверено 21 октября +2016 .
  6. Паганини, Пьерлуиджи (16 ноября 2014 г.). «Новый вариант BASHLITE заражает устройства с BusyBox» . Вопросы безопасности . Проверено 21 октября +2016 .
  7. ^ "Эксплойт уязвимости Bash (Shellshock) появляется в дикой природе, приводит к вредоносному ПО BASHLITE" . Trend Micro . 25 сентября 2014 . Проверено 19 марта 2017 года .
  8. ^ Inocencio, Rhena (13 ноября 2014). «BASHLITE влияет на устройства, работающие на BusyBox» . Trend Micro . Проверено 21 октября +2016 .
  9. ^ a b c d "Атака вещей!" . Лаборатории исследования угроз 3-го уровня . 25 августа 2016 года Архивировано из оригинала 3 октября 2016 года . Проверено 6 ноября +2016 .
  10. ^ «Вредоносная программа BASHLITE превращает миллионы устройств IoT на базе Linux в ботнет DDoS» . Полный круг . 4 сентября 2016 . Проверено 21 октября +2016 .
  11. Мастерс, Грег (31 августа 2016 г.). «Миллионы устройств Интернета вещей зачислены в DDoS-боты с помощью вредоносного ПО Bashlite» . Журнал SC . Проверено 21 октября +2016 .
  12. Весна, Том (30 августа 2016 г.). «Семейство вредоносных программ BASHLITE заразило 1 миллион устройств Интернета вещей» . Threatpost.com . Проверено 21 октября +2016 .
  13. Ковач, Эдуард (31 августа 2016 г.). «Ботнеты BASHLITE захватывают 1 миллион устройств Интернета вещей» . Неделя безопасности . Проверено 21 октября +2016 .
  14. Бинг, Мэтью (29 июня 2016 г.). "Мозг ящерицы LizardStresser" . Arbor Networks . Проверено 6 ноября +2016 .