BASHLITE

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
BASHLITE
Name BASHLITE
Aliase Gafgyt, Lizkebab, PinkSlip,
Qbot, Torlus, LizardStresser
Autoren Pseudonym „Lizard Squad“
System Linux
Programmiersprache C
Info Errichtet ein Botnet

BASHLITE (auch bekannt als Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus und LizardStresser) ist Malware, die Linux-Systeme infiziert, um Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) zu starten.[1] Sie wurde bereits verwendet, um Angriffe von bis zu 400 Gbps zu starten.[2] Die Malware war zuerst unter dem Namen Bashdoor bekannt,[3] aber so wird nun das von der Software verwendete Exploit genannt.

Die Originalversion aus 2014 nutzte eine Schwachstelle in der Bash Shell – die Shellshock-Sicherheitslücke – aus, um Geräte, die BusyBox verwenden, anzugreifen.[4][5][6][7] Einige Monate später wurde eine Variante gefunden, die auch andere unsichere Geräte im lokalen Netzwerk infizieren konnte.[8] 2015 wurde der Source Code geleakt, wodurch viele weitere Varianten entstanden.[9] 2016 wurde gemeldet, dass eine Million Geräte infiziert worden waren.[10][11][12][13]

Von den identifizierbaren Geräten in dem Botnet im August 2016 waren fast 96 % IoT-Geräte (von welchen 95 % Kameras und DVRs waren) und grob 4 % Heimnetzrouter. Kompromittierte Linux-Server machten einen Anteil von unter einem Prozent aus.[9]

BASHLITE wurde in C geschrieben und so designet, dass die Software einfach zu anderen Computer-Architekturen zu cross-compilen ist.[9]

Die exakten Fähigkeiten unterscheiden sich bei Varianten, aber die am häufigsten implementierten Features[9] erlauben die Ausführung verschiedener Arten von DDoS-Attacken:

  • Offenhalten von TCP-Verbindungen
  • Senden von zufälligen „Junk-Daten“ an einen TCP oder UDP-Port
  • Mehrfaches Senden von TCP-Paketen mit spezifizierten Flags.

Manche Varianten erlauben dem Angreifer auch das arbiträre Ausführen von Shell-Befehlen auf dem infizierten Gerät.

BASHLITE nutzt ein Client-Server-Modell für Command and Control. Das für die Kommunikation verwendete Protokoll ist im Prinzip eine leichtere Version des Internet-Relay-Chat-Protokolls (IRC-Protokolls).[14] Obwohl mehrere Command-and-Control-Server unterstützt werden, haben die meisten Varianten einen einzigen Befehl oder eine einzige IP-Adresse hartkodiert.

Die Malware verbreitet sich mithilfe von Brute-Force-Attacken; eine mitgepackte Liste von häufigen Nutzernamen und Passwörtern wird wie folgt verwendet: BASHLITE verbindet sich mit einer zufälligen IP-Adresse und versucht sich einzuloggen, wobei erfolgreiche Versuche dem Command-and-Control-Server gemeldet werden.

Technische Bezeichnungen

[Bearbeiten | Quelltext bearbeiten]

Als BashLite

Als Gafgyt

  • ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
  • HEUR:Backdoor.Linux.Gafgyt.[Buchstabe] (Kaspersky)
  • DDoS:Linux/Gafgyt.YA!MTB (Microsoft)
  • ELF_GAFGYT.[Buchstabe] (Trend Micro)

Als QBot

  • Trojan-PSW.Win32.Qbot (Kaspersky)
  • Backdoor.Qbot (Malwarebytes)
  • Win32/Qakbot (Microsoft)
  • Bck/QBot (Panda)
  • Mal/Qbot-[Buchstabe] (Sophos)
  • W32.Qakbot (Symantec)
  • BKDR_QAKBOT (Trend Micro)
  • TROJ_QAKBOT (Trend Micro)
  • TSPY_QAKBOT (Trend Micro)
  • WORM_QAKBOT (Trend Micro)
  • Backdoor.Qakbot (VirusBuster)

Als PinkSlip

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Catalin Cimpanu: There's a 120,000-Strong IoT DDoS Botnet Lurking Around. In: Softpedia. 30. August 2016, abgerufen am 19. Oktober 2016 (englisch).
  2. Warwick Ashford: LizardStresser IoT botnet launches 400Gbps DDoS attack. In: Computer Weekly. 30. Juni 2016, abgerufen am 21. Oktober 2016 (englisch).
  3. Liam Tung: First attacks using shellshock Bash bug discovered. In: ZDNet. 25. September 2014, abgerufen am 25. September 2014 (englisch).
  4. Eduard Kovacs: BASHLITE Malware Uses ShellShock to Hijack Devices Running BusyBox. In: SecurityWeek.com. 14. November 2014, abgerufen am 21. Oktober 2016 (englisch).
  5. Swati Khandelwal: BASHLITE Malware leverages ShellShock Bug to Hijack Devices Running BusyBox. In: The Hacker News. 17. November 2014, abgerufen am 21. Oktober 2016 (englisch).
  6. Pierluigi Paganini: A new BASHLITE variant infects devices running BusyBox. In: Security Affairs. 16. November 2014, abgerufen am 21. Oktober 2016 (englisch).
  7. Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware. In: Trend Micro. 25. September 2014, abgerufen am 19. März 2017 (englisch).
  8. Rhena Inocencio: BASHLITE Affects Devices Running on BusyBox. In: Trend Micro. 13. November 2014, abgerufen am 21. Oktober 2016 (englisch).
  9. a b c d Attack of Things! In: Level 3 Threat Research Labs. 25. August 2016, archiviert vom Original am 3. Oktober 2016; abgerufen am 6. November 2016 (englisch).
  10. BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet. In: Full Circle. 4. September 2016 (englisch, fullcirclemagazine.org (Memento des Originals vom 22. Oktober 2016 im Internet Archive) [abgerufen am 21. Oktober 2016]).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/fullcirclemagazine.org
  11. Greg Masters: Millions of IoT devices enlisted into DDoS bots with Bashlite malware. In: SC Magazine. 31. August 2016 (englisch, scmagazine.com [abgerufen am 21. Oktober 2016]).
  12. Tom Spring: BASHLITE Family of Malware Infects 1 Million IoT Devices. In: Threatpost.com. 30. August 2016, abgerufen am 21. Oktober 2016 (englisch).
  13. Eduard Kovacs: BASHLITE Botnets Ensnare 1 Million IoT Devices. In: Security Week. 31. August 2016, abgerufen am 21. Oktober 2016 (englisch).
  14. Matthew Bing: The Lizard Brain of LizardStresser. In: Arbor Networks. 29. Juni 2016, abgerufen am 6. November 2016 (en∫∫).