BASHLITE (también conocido como Gafgyt , Lizkebab , PinkSlip , Qbot , Torlus y LizardStresser ) es un malware que infecta los sistemas Linux para lanzar ataques distribuidos de denegación de servicio (DDoS). [1] Originalmente también se conocía con el nombre de Bashdoor , [2] pero este término ahora se refiere al método de explotación utilizado por el malware. Se ha utilizado para lanzar ataques de hasta 400 Gbps . [3]
Nombre técnico | Como BashLite
Como Gafgyt
Como QBot
Como PinkSlip
|
---|---|
Alias | Gafgyt , Lizkebab , PinkSlip , Qbot , Torlus , LizardStresser |
Tipo | Botnet |
Autor (es) | Escuadrón de lagarto |
Sistema (s) operativo (s) afectado (s) | Linux |
Escrito en | C |
La versión original en 2014 aprovechó una falla en el shell de bash , el error del software Shellshock , para explotar dispositivos que ejecutan BusyBox . [4] [5] [6] [7] Unos meses más tarde se detectó una variante que también podría infectar otros dispositivos vulnerables en la red local. [8] En 2015 se filtró su código fuente, lo que provocó una proliferación de diferentes variantes, [9] y en 2016 se informó que se habían infectado un millón de dispositivos. [10] [11] [12] [13]
De los dispositivos identificables que participaron en estas botnets en agosto de 2016, casi el 96 por ciento eran dispositivos IoT (de los cuales el 95 por ciento eran cámaras y DVR ), aproximadamente el 4 por ciento eran enrutadores domésticos y menos del 1 por ciento eran servidores Linux comprometidos . [9]
Diseño
BASHLITE está escrito en C y diseñado para realizar una compilación cruzada sencilla en varias arquitecturas informáticas . [9]
Las capacidades exactas difieren entre las variantes, pero las características más comunes [9] generan varios tipos diferentes de ataques DDoS: puede mantener abiertas las conexiones TCP , enviar una cadena aleatoria de caracteres basura a un puerto TCP o UDP , o enviar repetidamente paquetes TCP con banderas especificadas. También pueden tener un mecanismo para ejecutar comandos de shell arbitrarios en la máquina infectada. No hay instalaciones para ataques reflejados o de amplificación .
BASHLITE utiliza un modelo cliente-servidor para el mando y control. El protocolo utilizado para la comunicación es esencialmente una versión ligera de Internet Relay Chat (IRC). [14] A pesar de que admite varios servidores de comando y control, la mayoría de las variantes solo tienen una única dirección IP de control y comando codificada .
Se propaga a través de la fuerza bruta , utilizando un diccionario integrado de nombres de usuario y contraseñas comunes. El malware se conecta a direcciones IP aleatorias e intenta iniciar sesión, y los inicios de sesión exitosos se informan al servidor de comando y control.
Ver también
- Cañón de iones de órbita baja : una herramienta de prueba de esfuerzo que se ha utilizado para ataques DDoS
- Cañón de iones de alta órbita : el reemplazo del LOIC utilizado en los ataques DDoS
- Ataque de denegación de servicio (DoS)
- Bomba de horquilla
- Mirai (malware)
- Hajime (malware)
- Slowloris (seguridad informática)
- Rehacer
Referencias
- ^ Cimpanu, Catalin (30 de agosto de 2016). "Hay una botnet IoT DDoS de 120.000 potentes al acecho" . Softpedia . Consultado el 19 de octubre de 2016 .
- ^ Tung, Liam (25 de septiembre de 2014). "Primeros ataques con el error shellshock Bash descubierto" . ZDNet . Consultado el 25 de septiembre de 2014 .
- ^ Ashford, Warwick (30 de junio de 2016). "La botnet LizardStresser IoT lanza un ataque DDoS de 400Gbps" . Computer Weekly . Consultado el 21 de octubre de 2016 .
- ^ Kovacs, Eduard (14 de noviembre de 2014). "BASHLITE Malware utiliza ShellShock para secuestrar dispositivos que ejecutan BusyBox" . SecurityWeek.com . Consultado el 21 de octubre de 2016 .
- ^ Khandelwal, Swati (17 de noviembre de 2014). "BASHLITE Malware aprovecha ShellShock Bug para secuestrar dispositivos que ejecutan BusyBox" . The Hacker News . Consultado el 21 de octubre de 2016 .
- ^ Paganini, Pierluigi (16 de noviembre de 2014). "Una nueva variante de BASHLITE infecta los dispositivos que ejecutan BusyBox" . Asuntos de seguridad . Consultado el 21 de octubre de 2016 .
- ^ "Bash Vulnerability (Shellshock) Exploit emerge en la naturaleza, conduce a BASHLITE Malware" . Trend Micro . 25 de septiembre de 2014 . Consultado el 19 de marzo de 2017 .
- ^ Inocencio, Rhena (13 de noviembre de 2014). "BASHLITE afecta a los dispositivos que se ejecutan en BusyBox" . Trend Micro . Consultado el 21 de octubre de 2016 .
- ^ a b c d "¡Ataque de cosas!" . Laboratorios de investigación de amenazas de nivel 3 . 25 de agosto de 2016. Archivado desde el original el 3 de octubre de 2016 . Consultado el 6 de noviembre de 2016 .
- ^ "Malware BASHLITE convirtiendo millones de dispositivos IoT basados en Linux en botnet DDoS" . Círculo completo . 4 de septiembre de 2016 . Consultado el 21 de octubre de 2016 .
- ^ Masters, Greg (31 de agosto de 2016). "Millones de dispositivos IoT alistados en bots DDoS con malware Bashlite" . Revista SC . Consultado el 21 de octubre de 2016 .
- ^ Spring, Tom (30 de agosto de 2016). "La familia de malware BASHLITE infecta 1 millón de dispositivos IoT" . Threatpost.com . Consultado el 21 de octubre de 2016 .
- ^ Kovacs, Eduard (31 de agosto de 2016). "Botnets BASHLITE atrapan 1 millón de dispositivos IoT" . Semana de la seguridad . Consultado el 21 de octubre de 2016 .
- ^ Bing, Matthew (29 de junio de 2016). "El cerebro de lagarto de LizardStresser" . Arbor Networks . Consultado el 6 de noviembre de 2016 .