BASHLITE
BASHLITE (auch bekannt als Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus und LizardStresser) ist Malware, die Linux-Systeme infiziert, um Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) zu starten.[1] Sie wurde bereits verwendet, um Angriffe von bis zu 400 Gbps zu starten.[2] Die Malware war zuerst unter dem Namen Bashdoor bekannt,[3] aber so wird nun das von der Software verwendete Exploit genannt.
BASHLITE | |
---|---|
Name | BASHLITE |
Aliase | Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus, LizardStresser |
Autoren | Pseudonym „Lizard Squad“ |
System | Linux |
Programmiersprache | C |
Info | Errichtet ein Botnet |
Die Originalversion aus 2014 nutzte eine Schwachstelle in der Bash Shell – die Shellshock-Sicherheitslücke – aus, um Geräte, die BusyBox verwenden, anzugreifen.[4][5][6][7] Einige Monate später wurde eine Variante gefunden, die auch andere unsichere Geräte im lokalen Netzwerk infizieren konnte.[8] 2015 wurde der Source Code geleakt, wodurch viele weitere Varianten entstanden.[9] 2016 wurde gemeldet, dass eine Million Geräte infiziert worden waren.[10][11][12][13]
Von den identifizierbaren Geräten in dem Botnet im August 2016 waren fast 96 % IoT-Geräte (von welchen 95 % Kameras und DVRs waren) und grob 4 % Heimnetzrouter. Kompromittierte Linux-Server machten einen Anteil von unter einem Prozent aus.[9]
Design
BASHLITE wurde in C geschrieben und so designet, dass die Software einfach zu anderen Computer-Architekturen zu cross-compilen ist.[9]
Die exakten Fähigkeiten unterscheiden sich bei Varianten, aber die am häufigsten implementierten Features[9] erlauben die Ausführung verschiedener Arten von DDoS-Attacken:
- Offenhalten von TCP-Verbindungen
- Senden von zufälligen „Junk-Daten“ an einen TCP oder UDP-Port
- Mehrfaches Senden von TCP-Paketen mit spezifizierten Flags.
Manche Varianten erlauben dem Angreifer auch das arbiträre Ausführen von Shell-Befehlen auf dem infizierten Gerät.
BASHLITE nutzt ein Client-Server-Modell für Command and Control. Das für die Kommunikation verwendete Protokoll ist im Prinzip eine leichtere Version des Internet-Relay-Chat-Protokolls (IRC-Protokolls).[14] Obwohl mehrere Command-and-Control-Server unterstützt werden, haben die meisten Varianten einen einzigen Befehl oder eine einzige IP-Adresse hartkodiert.
Die Malware verbreitet sich mithilfe von Brute-Force-Attacken; eine mitgepackte Liste von häufigen Nutzernamen und Passwörtern wird wie folgt verwendet: BASHLITE verbindet sich mit einer zufälligen IP-Adresse und versucht sich einzuloggen, wobei erfolgreiche Versuche dem Command-and-Control-Server gemeldet werden.
Technische Bezeichnungen
Als BashLite
- ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
- Backdoor.Linux.BASHLITE.[Buchstabe] (Trend Micro)
Als Gafgyt
- ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
- HEUR:Backdoor.Linux.Gafgyt.[Buchstabe] (Kaspersky)
- DDoS:Linux/Gafgyt.YA!MTB (Microsoft)
- ELF_GAFGYT.[Buchstabe] (Trend Micro)
Als QBot
- Trojan-PSW.Win32.Qbot (Kaspersky)
- Backdoor.Qbot (Malwarebytes)
- Win32/Qakbot (Microsoft)
- Bck/QBot (Panda)
- Mal/Qbot-[Buchstabe] (Sophos)
- W32.Qakbot (Symantec)
- BKDR_QAKBOT (Trend Micro)
- TROJ_QAKBOT (Trend Micro)
- TSPY_QAKBOT (Trend Micro)
- WORM_QAKBOT (Trend Micro)
- Backdoor.Qakbot (VirusBuster)
Als PinkSlip
- W32/Pinkslipbot (McAfee)
Siehe auch
- Low Orbit Ion Cannon – ein Lasttest-Computerprogramm, das für DDoS-Angriffe verwendet worden ist
Einzelnachweise
- Catalin Cimpanu: There's a 120,000-Strong IoT DDoS Botnet Lurking Around. In: Softpedia. 30. August 2016. Abgerufen am 19. Oktober 2016.
- Warwick Ashford: LizardStresser IoT botnet launches 400Gbps DDoS attack. In: Computer Weekly. 30. Juni 2016. Abgerufen am 21. Oktober 2016.
- Liam Tung: First attacks using shellshock Bash bug discovered. In: ZDNet. 25. September 2014. Abgerufen am 25. September 2014.
- Eduard Kovacs: BASHLITE Malware Uses ShellShock to Hijack Devices Running BusyBox. In: SecurityWeek.com. 14. November 2014. Abgerufen am 21. Oktober 2016.
- Swati Khandelwal: BASHLITE Malware leverages ShellShock Bug to Hijack Devices Running BusyBox. In: The Hacker News. 17. November 2014. Abgerufen am 21. Oktober 2016.
- Pierluigi Paganini: A new BASHLITE variant infects devices running BusyBox. In: Security Affairs. 16. November 2014. Abgerufen am 21. Oktober 2016.
- Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware. In: Trend Micro. 25. September 2014. Abgerufen am 19. März 2017.
- Rhena Inocencio: BASHLITE Affects Devices Running on BusyBox. In: Trend Micro. 13. November 2014. Abgerufen am 21. Oktober 2016.
- Attack of Things!. In: Level 3 Threat Research Labs. 25. August 2016. Archiviert vom Original am 3. Oktober 2016. Abgerufen am 6. November 2016.
- BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet. In: Full Circle. 4. September 2016. Abgerufen am 21. Oktober 2016.
- Greg Masters: Millions of IoT devices enlisted into DDoS bots with Bashlite malware. In: SC Magazine. 31. August 2016. Abgerufen am 21. Oktober 2016.
- Tom Spring: BASHLITE Family of Malware Infects 1 Million IoT Devices. In: Threatpost.com. 30. August 2016. Abgerufen am 21. Oktober 2016.
- Eduard Kovacs: BASHLITE Botnets Ensnare 1 Million IoT Devices. In: Security Week. 31. August 2016. Abgerufen am 21. Oktober 2016.
- Matthew Bing: The Lizard Brain of LizardStresser. In: Arbor Networks. 29. Juni 2016. Abgerufen am 6. November 2016.