Jump to content

НАЧИНАТЬ

НАЧИНАТЬ
Техническое название Как БашЛайт

Как Гафгыт

  • ЭЛЬФ/Гафгыт.[буква]!tr (Фортинет)
  • HEUR:Backdoor.Linux.Gafgyt.[письмо] ( Касперский )
  • DDoS:Linux/Gafgyt.YA!MTB ( Microsoft )
  • ELF_GAFGYT.[буква] (Trend Micro)

Как QBot

  • Троян-PSW.Win32.Qbot (Касперский)
  • Backdoor.Qbot ( Malwarebytes )
  • Win32/Qakbot (Майкрософт)
  • Бк/QBot (Панда)
  • Mal/Qbot-[буква] ( Софос )
  • W32.Qakbot ( Symantec )
  • BKDR_QAKBOT (Trend Micro)
  • TROJ_QAKBOT (Trend Micro)
  • TSPY_QAKBOT (Trend Micro)
  • WORM_QAKBOT (Trend Micro)
  • Backdoor.Qakbot (VirusBuster)

Как PinkSlip

  • W32/Pinkslipbot (McAfee)
Как Торлус
Псевдоним Гафгыт , Лизкебаб , PinkSlip , Qbot , Torlus , LizardStresser
Тип Ботнет
Авторы Ящерица Отряд
Технические детали
Платформа Линукс
Написано в С

BASHLITE (также известный как Gafgyt , Lizkebab , PinkSlip , Qbot , Torlus и LizardStresser ) — это вредоносное ПО , которое заражает системы Linux с целью запуска распределенных атак типа «отказ в обслуживании» (DDoS). [1] Первоначально он был также известен под названием Башдур . [2] но теперь этот термин относится к методу эксплойта, используемому вредоносной программой. Он использовался для проведения атак со скоростью до 400 Гбит/с . [3]

Первоначальная версия 2014 года использовала недостаток оболочки bash программную ошибку Shellshock — для взлома устройств под управлением BusyBox . [4] [5] [6] [7] Через несколько месяцев был обнаружен вариант, который мог заразить и другие уязвимые устройства в локальной сети. [8] В 2015 году произошла утечка исходного кода, что привело к появлению множества различных вариантов. [9] а к 2016 году сообщалось, что был заражен один миллион устройств. [10] [11] [12] [13]

Из идентифицируемых устройств, участвовавших в этих ботнетах в августе 2016 года, почти 96 процентов были устройствами Интернета вещей (из них 95 процентов были камерами и видеорегистраторами ), примерно 4 процента были домашними маршрутизаторами и менее 1 процента были скомпрометированными Linux-серверами . [9]

Дизайн

[ редактировать ]

BASHLITE написан на C и предназначен для простой кросс-компиляции под различные компьютерные архитектуры . [9]

Точные возможности различаются в зависимости от варианта, но наиболее распространенные функции [9] генерировать несколько различных типов DDoS-атак: он может удерживать открытые TCP- соединения, отправлять случайную строку нежелательных символов на TCP или UDP порт или неоднократно отправлять TCP- пакеты с указанными флагами. У них также может быть механизм запуска произвольных команд оболочки на зараженной машине. Нет средств для отраженных или усиленных атак .

BASHLITE использует модель клиент-сервер для управления и контроля. Протокол, используемый для связи, по существу представляет собой облегченную версию интернет-релейного чата (IRC). [14] Несмотря на то, что он поддерживает несколько серверов управления и контроля, большинство вариантов имеют только один жестко запрограммированный IP-адрес управления и контроля .

Он распространяется методом перебора , используя встроенный словарь общих имен пользователей и паролей. Вредоносное ПО подключается к случайным IP-адресам и пытается войти в систему, при этом об успешных входах сообщается на сервер управления.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Чимпану, Каталин (30 августа 2016 г.). «Рядом скрывается ботнет IoT DDoS численностью 120 000 человек» . Софтпедия . Проверено 19 октября 2016 г.
  2. ^ Тунг, Лиам (25 сентября 2014 г.). «Обнаружена первая атака с использованием Shellshock Bash» . ЗДНет . Проверено 25 сентября 2014 г.
  3. ^ Эшфорд, Уорик (30 июня 2016 г.). «IoT-ботнет LizardStresser запускает DDoS-атаку на скорости 400 Гбит/с» . Компьютерный еженедельник . Проверено 21 октября 2016 г.
  4. ^ Ковач, Эдуард (14 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ShellShock для взлома устройств, на которых работает BusyBox» . SecurityWeek.com . Проверено 21 октября 2016 г.
  5. ^ Хандельвал, Свати (17 ноября 2014 г.). «Вредоносное ПО BASHLITE использует ошибку ShellShock для взлома устройств, на которых работает BusyBox» . Хакерские новости . Проверено 21 октября 2016 г.
  6. ^ Паганини, Пьерлуиджи (16 ноября 2014 г.). «Новый вариант BASHLITE заражает устройства под управлением BusyBox» . Дела безопасности . Проверено 21 октября 2016 г.
  7. ^ «Эксплойт уязвимости Bash (Shellshock) приводит к вредоносному ПО BASHLITE» . Тренд Микро . 25 сентября 2014 года . Проверено 19 марта 2017 г.
  8. ^ Иносенсио, Рена (13 ноября 2014 г.). «BASHLITE влияет на устройства, работающие на BusyBox» . Тренд Микро . Проверено 21 октября 2016 г.
  9. ^ Jump up to: а б с д «Атака вещей!» . Лаборатории исследования угроз 3-го уровня . 25 августа 2016 года. Архивировано из оригинала 3 октября 2016 года . Проверено 6 ноября 2016 г.
  10. ^ «Вредоносное ПО BASHLITE превращает миллионы IoT-устройств на базе Linux в DDoS-ботнет» . Полный круг . 4 сентября 2016 г. Архивировано из оригинала 22 октября 2016 г. . Проверено 21 октября 2016 г.
  11. ^ Мастерс, Грег (31 августа 2016 г.). «Миллионы IoT-устройств были включены в DDoS-боты с вредоносным ПО Bashlite» . Журнал СК . Проверено 21 октября 2016 г.
  12. ^ Спринг, Том (30 августа 2016 г.). «Семейство вредоносных программ BASHLITE заразило 1 миллион устройств Интернета вещей» . Threatpost.com . Проверено 21 октября 2016 г.
  13. ^ Ковач, Эдуард (31 августа 2016 г.). «Ботнеты BASHLITE ловят в ловушку 1 миллион IoT-устройств» . Неделя безопасности . Проверено 21 октября 2016 г.
  14. ^ Бинг, Мэтью (29 июня 2016 г.). «Мозг ящерицы LizardStresser» . Сети беседок . Проверено 6 ноября 2016 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=BASHLITE&oldid=1232782052"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 61131276f017a1919d0cbd00a9df16ff__1720182780
URL1:https://arc.ask3.ru/arc/aa/61/ff/61131276f017a1919d0cbd00a9df16ff.html
Заголовок, (Title) документа по адресу, URL1:
BASHLITE - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)