BASHLITE
Malware für Linux
From Wikipedia, the free encyclopedia
BASHLITE (auch bekannt als Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus und LizardStresser) ist Malware, die Linux-Systeme infiziert, um Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) zu starten.[1] Sie wurde bereits verwendet, um Angriffe von bis zu 400 Gbps zu starten.[2] Die Malware war zuerst unter dem Namen Bashdoor bekannt,[3] aber so wird nun das von der Software verwendete Exploit genannt.
Qbot, Torlus, LizardStresser
Die Originalversion aus 2014 nutzte eine Schwachstelle in der Bash Shell – die Shellshock-Sicherheitslücke – aus, um Geräte, die BusyBox verwenden, anzugreifen.[4][5][6][7] Einige Monate später wurde eine Variante gefunden, die auch andere unsichere Geräte im lokalen Netzwerk infizieren konnte.[8] 2015 wurde der Source Code geleakt, wodurch viele weitere Varianten entstanden.[9] 2016 wurde gemeldet, dass eine Million Geräte infiziert worden waren.[10][11][12][13]
Von den identifizierbaren Geräten in dem Botnet im August 2016 waren fast 96 % IoT-Geräte (von welchen 95 % Kameras und DVRs waren) und grob 4 % Heimnetzrouter. Kompromittierte Linux-Server machten einen Anteil von unter einem Prozent aus.[9]
Design
BASHLITE wurde in C geschrieben und so designet, dass die Software einfach zu anderen Computer-Architekturen zu cross-compilen ist.[9]
Die exakten Fähigkeiten unterscheiden sich bei Varianten, aber die am häufigsten implementierten Features[9] erlauben die Ausführung verschiedener Arten von DDoS-Attacken:
- Offenhalten von TCP-Verbindungen
- Senden von zufälligen „Junk-Daten“ an einen TCP oder UDP-Port
- Mehrfaches Senden von TCP-Paketen mit spezifizierten Flags.
Manche Varianten erlauben dem Angreifer auch das arbiträre Ausführen von Shell-Befehlen auf dem infizierten Gerät.
BASHLITE nutzt ein Client-Server-Modell für Command and Control. Das für die Kommunikation verwendete Protokoll ist im Prinzip eine leichtere Version des Internet-Relay-Chat-Protokolls (IRC-Protokolls).[14] Obwohl mehrere Command-and-Control-Server unterstützt werden, haben die meisten Varianten einen einzigen Befehl oder eine einzige IP-Adresse hartkodiert.
Die Malware verbreitet sich mithilfe von Brute-Force-Attacken; eine mitgepackte Liste von häufigen Nutzernamen und Passwörtern wird wie folgt verwendet: BASHLITE verbindet sich mit einer zufälligen IP-Adresse und versucht sich einzuloggen, wobei erfolgreiche Versuche dem Command-and-Control-Server gemeldet werden.
Technische Bezeichnungen
Als BashLite
- ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
- Backdoor.Linux.BASHLITE.[Buchstabe] (Trend Micro)
Als Gafgyt
- ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
- HEUR:Backdoor.Linux.Gafgyt.[Buchstabe] (Kaspersky)
- DDoS:Linux/Gafgyt.YA!MTB (Microsoft)
- ELF_GAFGYT.[Buchstabe] (Trend Micro)
Als QBot
- Trojan-PSW.Win32.Qbot (Kaspersky)
- Backdoor.Qbot (Malwarebytes)
- Win32/Qakbot (Microsoft)
- Bck/QBot (Panda)
- Mal/Qbot-[Buchstabe] (Sophos)
- W32.Qakbot (Symantec)
- BKDR_QAKBOT (Trend Micro)
- TROJ_QAKBOT (Trend Micro)
- TSPY_QAKBOT (Trend Micro)
- WORM_QAKBOT (Trend Micro)
- Backdoor.Qakbot (VirusBuster)
Als PinkSlip
- W32/Pinkslipbot (McAfee)
Siehe auch
- Low Orbit Ion Cannon – ein Lasttest-Computerprogramm, das für DDoS-Angriffe verwendet worden ist
