WikiDer > БАШЛИТ
Оригинальный автор (ы) | Отряд Ящериц |
---|---|
Написано в | C |
Операционная система | Linux |
Тип | Ботнет |
БАШЛИТ (также известен как Гафгыт, Лизкебаб, Qbot, Торлус и Ящерица) является вредоносное ПО который заражает Linux системы для запуска распределенные атаки типа "отказ в обслуживании" (DDoS).[1] Первоначально он был также известен под названием Bashdoor,[2] но теперь этот термин относится к методу эксплойта, используемому вредоносной программой. Он использовался для запуска атак до 400 Гбит / с.[3]
Первоначальная версия 2014 года использовала недостаток в трепать оболочка - Shellshock программная ошибка - использовать работающие устройства BusyBox.[4][5][6][7] Спустя несколько месяцев был обнаружен вариант, способный заразить и другие уязвимые устройства в локальной сети.[8] В 2015 году произошла утечка его исходного кода, что привело к увеличению количества различных вариантов,[9] а к 2016 году сообщалось, что был заражен один миллион устройств.[10][11][12][13]
Из идентифицируемых устройств, участвовавших в этих ботнетах в августе 2016 года, почти 96 процентов были Интернет вещей устройства (из которых 95 процентов были фотоаппаратами и Видеорегистраторы), примерно 4 процента были домашние роутеры - и менее 1 процента были скомпрометированы Серверы Linux.[9]
Дизайн
БАШЛИТ написан на C, и предназначен для простой кросс-компиляции с различными компьютерные архитектуры.[9]
Точные возможности различаются между вариантами, но наиболее общие функции[9] генерировать несколько различных типов DDoS-атак: может держать TCP соединения, отправить случайную строку ненужных символов в TCP или UDP порт, или повторно отправить TCP пакеты с указанными флагами. У них также может быть механизм для запуска произвольных команд оболочки на зараженной машине. Нет условий для отраженный или же атаки усиления.
BASHLITE использует клиент-серверная модель для управления и контроля. Протокол, используемый для связи, по сути, является облегченной версией Интернет-чат (IRC).[14] Несмотря на то, что он поддерживает несколько серверов управления и контроля, в большинстве вариантов жестко запрограммирован только один IP-адрес управления и контроля.
Он распространяется через грубое принуждение, используя встроенный словарь общих имен пользователей и паролей. Вредоносная программа подключается к случайным IP-адресам и пытается войти в систему, при этом информация об успешном входе возвращается на сервер управления.
Смотрите также
- Низкоорбитальная ионная пушка - инструмент стресс-теста, который использовался для DDoS-атак
- Высокоорбитальная ионная пушка - замена LOIC, используемого в DDoS-атаках
- Атака отказа в обслуживании (DoS)
- Вилочная бомба
- Mirai (вредоносное ПО)
- Hajime (вредоносное ПО)
- Slowloris (компьютерная безопасность)
- ReDoS
Рекомендации
- ^ Чимпану, Каталин (30 августа 2016 г.). «Вокруг таится 120-тысячный IoT-ботнет DDoS». Софтпедия. Получено 19 октября 2016.
- ^ Тунг, Лиам (25 сентября 2014 г.). «Обнаружены первые атаки с использованием Shellshock Bash». ZDNet. Получено 25 сентября 2014.
- ^ Эшфорд, Уорик (30 июня 2016 г.). «Ботнет LizardStresser IoT запускает DDoS-атаку со скоростью 400 Гбит / с». Computer Weekly. Получено 21 октября 2016.
- ^ Ковач, Эдуард (14 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ShellShock для взлома устройств, на которых запущен BusyBox». SecurityWeek.com. Получено 21 октября 2016.
- ^ Ханделвал, Свати (17 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ошибку ShellShock для взлома устройств, на которых запущен BusyBox». Хакерские новости. Получено 21 октября 2016.
- ^ Паганини, Пьерлуиджи (16 ноября 2014 г.). «Новый вариант BASHLITE заражает устройства с BusyBox». Вопросы безопасности. Получено 21 октября 2016.
- ^ "Эксплуатация уязвимости Bash (Shellshock) в дикой природе ведет к появлению вредоносного ПО BASHLITE". Trend Micro. 25 сентября 2014 г.. Получено 19 марта 2017.
- ^ Иносенсио, Рена (13 ноября 2014 г.). «BASHLITE влияет на устройства, работающие на BusyBox». Trend Micro. Получено 21 октября 2016.
- ^ а б c d "Атака вещей!". Лаборатории исследования угроз уровня 3. 25 августа 2016 г. Архивировано с оригинал 3 октября 2016 г.. Получено 6 ноября 2016.
- ^ «Вредоносная программа BASHLITE превращает миллионы IoT-устройств на базе Linux в DDoS-ботнет». Полный круг. 4 сентября 2016 г.. Получено 21 октября 2016.
- ^ Мастерс, Грег (31 августа 2016 г.). «Миллионы устройств Интернета вещей зачислены в DDoS-боты с помощью вредоносного ПО Bashlite». SC Magazine. Получено 21 октября 2016.
- ^ Весна, Том (30 августа 2016 г.). «Семейство вредоносных программ BASHLITE заразило 1 миллион устройств Интернета вещей». Threatpost.com. Получено 21 октября 2016.
- ^ Ковач, Эдуард (31 августа 2016 г.). «Ботнеты BASHLITE захватывают 1 миллион устройств Интернета вещей». Неделя безопасности. Получено 21 октября 2016.
- ^ Бинг, Мэтью (29 июня 2016 г.). "Мозг ящерицы LizardStresser". Arbor Networks. Получено 6 ноября 2016.