BASHLITE

BASHLITE
Name	BASHLITE
Aliase	Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus, LizardStresser
Autoren	Lizard Squad
System	Linux
Programmiersprache	C

BASHLITE (auch bekannt als Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus und LizardStresser) ist Malware, die Linux Systeme infiziert, um Distributed-Denial-Of-Service (DDoS) zu starten.^[1] Sie wurde bereits verwendet, um Angriffe von bis zu 400 Gbps zu starten.^[2] Die Malware war zuerst unter dem Namen Bashdoor bekannt,^[3] aber so wird nun das durch die Software verwendete Exploit genannt.

Die Originalversion aus 2014 nutzte eine Schwachstelle in der Bash Shell - die Shellshock Sicherheitslücke - aus, um Geräte, die BusyBox verwenden, anzugreifen.^[4]^[5]^[6]^[7] Einige Monate später wurde eine Variante gefunden, die auch andere unsichere Geräte im lokalen Netzwerk infizieren konnte.^[8] In 2015 wurde der Source Code geleakt, wodurch viele weitere Varianten entstanden.^[9] 2016 wurde gemeldet, dass eine Millionen Geräte infiziert worden waren.^[10]^[11]^[12]^[13]

Von den identifizierbaren Geräten in dem Botnet im August 2016 waren fast 96% IoT Geräte (von welchen 95% Kameras und DVRs waren) und grob 4% Heimnetzrouter. Kompromittierte Linux Server machte hatten einen Anteil von unter einem Prozent.^[9]

Design

BASHLITE wurde in C geschrieben und so designet, dass die Software einfach zu anderen Computer Architekturen zu cross-compilen ist.^[9]

Die exakten Fähigkeiten unterscheiden sich bei Varianten, aber die am häufigsten implementierten Features^[9] erlauben die Ausführung verschiedener Arten von DDoS Attacken:

Offenhalten von TCP Verbindungen
Senden von zufälligen „Junk-Daten“ an einen TCP oder UDP Port
Mehrfaches Senden von TCP Paketen with spezifizierten Flags.

Manche Varianten erlauben dem Angreifer auch das arbiträre Ausführen von Shell-Befehlen auf dem infizierten Gerät.

BASHLITE nutzt ein Client-Server-Modell für Command and Control. Das für die Kommunikation verwendete Protokoll ist im Prinzip eine leichtere Version des Internet Relay Chat (IRC) Protokolls.^[14] Obwohl mehrere Command and Control Server unterstützt werden, haben die meisten Varianten einen einzigen Befehl oder eine einzige IP-Adresse hartkodiert.

Die Malware verbreitet sich mithilfe von Brute Force-Attacken; eine mitgepackte Liste von häufigen Nutzernamen und Passwörtern wird wie folgt verwendet: BASHLITE verbindet sich mit einer zufälligen IP-Adresse und versucht sich einzuloggen, wobei erfolgreiche Versuche dem Command and Control Server gemeldet werden.

Technische Bezeichnungen

Als BashLite

ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
Backdoor.Linux.BASHLITE.[Buchstabe] (Trend Micro)

Als Gafgyt

ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
HEUR:Backdoor.Linux.Gafgyt.[Buchstabe] (Kaspersky)
DDoS:Linux/Gafgyt.YA!MTB (Microsoft)
ELF_GAFGYT.[Buchstabe] (Trend Micro)

Als QBot

Trojan-PSW.Win32.Qbot (Kaspersky)
Backdoor.Qbot (Malwarebytes)
Win32/Qakbot (Microsoft)
Bck/QBot (Panda)
Mal/Qbot-[Buchstabe] (Sophos)
W32.Qakbot (Symantec)
BKDR_QAKBOT (Trend Micro)
TROJ_QAKBOT (Trend Micro)
TSPY_QAKBOT (Trend Micro)
WORM_QAKBOT (Trend Micro)
Backdoor.Qakbot (VirusBuster)

Als PinkSlip

W32/Pinkslipbot (McAfee)

Siehe auch

Low Orbit Ion Cannon – ein Lasttest-Computerpgramm, das für DDoS Angriffe verwendet worden ist

Einzelnachweise

↑ Catalin Cimpanu: There's a 120,000-Strong IoT DDoS Botnet Lurking Around. In: Softpedia. 30. August 2016, abgerufen am 19. Oktober 2016.
↑ Warwick Ashford: LizardStresser IoT botnet launches 400Gbps DDoS attack. In: Computer Weekly. 30. Juni 2016, abgerufen am 21. Oktober 2016.
↑ Liam Tung: First attacks using shellshock Bash bug discovered. In: ZDNet. 25. September 2014, abgerufen am 25. September 2014.
↑ Eduard Kovacs: BASHLITE Malware Uses ShellShock to Hijack Devices Running BusyBox. In: SecurityWeek.com. 14. November 2014, abgerufen am 21. Oktober 2016.
↑ Swati Khandelwal: BASHLITE Malware leverages ShellShock Bug to Hijack Devices Running BusyBox. In: The Hacker News. 17. November 2014, abgerufen am 21. Oktober 2016.
↑ Pierluigi Paganini: A new BASHLITE variant infects devices running BusyBox. In: Security Affairs. 16. November 2014, abgerufen am 21. Oktober 2016.
↑ Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware. In: Trend Micro. 25. September 2014, abgerufen am 19. März 2017.
↑ Rhena Inocencio: BASHLITE Affects Devices Running on BusyBox. In: Trend Micro. 13. November 2014, abgerufen am 21. Oktober 2016.
↑ ^a ^b ^c ^d Attack of Things! In: Level 3 Threat Research Labs. 25. August 2016, archiviert vom Original am 3. Oktober 2016; abgerufen am 6. November 2016.
↑ BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet. 4. September 2016, abgerufen am 21. Oktober 2016.
↑ Greg Masters: Millions of IoT devices enlisted into DDoS bots with Bashlite malware. 31. August 2016, abgerufen am 21. Oktober 2016.
↑ Tom Spring: BASHLITE Family of Malware Infects 1 Million IoT Devices. In: Threatpost.com. 30. August 2016, abgerufen am 21. Oktober 2016.
↑ Eduard Kovacs: BASHLITE Botnets Ensnare 1 Million IoT Devices. In: Security Week. 31. August 2016, abgerufen am 21. Oktober 2016.
↑ Matthew Bing: The Lizard Brain of LizardStresser. In: Arbor Networks. 29. Juni 2016, abgerufen am 6. November 2016.

[1] Catalin Cimpanu: There's a 120,000-Strong IoT DDoS Botnet Lurking Around. In: Softpedia. 30. August 2016, abgerufen am 19. Oktober 2016.

[2] Warwick Ashford: LizardStresser IoT botnet launches 400Gbps DDoS attack. In: Computer Weekly. 30. Juni 2016, abgerufen am 21. Oktober 2016.

[3] Liam Tung: First attacks using shellshock Bash bug discovered. In: ZDNet. 25. September 2014, abgerufen am 25. September 2014.

[4] Eduard Kovacs: BASHLITE Malware Uses ShellShock to Hijack Devices Running BusyBox. In: SecurityWeek.com. 14. November 2014, abgerufen am 21. Oktober 2016.

[5] Swati Khandelwal: BASHLITE Malware leverages ShellShock Bug to Hijack Devices Running BusyBox. In: The Hacker News. 17. November 2014, abgerufen am 21. Oktober 2016.

[6] Pierluigi Paganini: A new BASHLITE variant infects devices running BusyBox. In: Security Affairs. 16. November 2014, abgerufen am 21. Oktober 2016.

[7] Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware. In: Trend Micro. 25. September 2014, abgerufen am 19. März 2017.

[8] Rhena Inocencio: BASHLITE Affects Devices Running on BusyBox. In: Trend Micro. 13. November 2014, abgerufen am 21. Oktober 2016.

[Level3-9] Attack of Things! In: Level 3 Threat Research Labs. 25. August 2016, archiviert vom Original am 3. Oktober 2016; abgerufen am 6. November 2016.

[10] BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet. 4. September 2016, abgerufen am 21. Oktober 2016.

[11] Greg Masters: Millions of IoT devices enlisted into DDoS bots with Bashlite malware. 31. August 2016, abgerufen am 21. Oktober 2016.

[12] Tom Spring: BASHLITE Family of Malware Infects 1 Million IoT Devices. In: Threatpost.com. 30. August 2016, abgerufen am 21. Oktober 2016.

[13] Eduard Kovacs: BASHLITE Botnets Ensnare 1 Million IoT Devices. In: Security Week. 31. August 2016, abgerufen am 21. Oktober 2016.

[14] Matthew Bing: The Lizard Brain of LizardStresser. In: Arbor Networks. 29. Juni 2016, abgerufen am 6. November 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]