바슐라이트

BASHLITE
바슐라이트
기술명As BashLite
  • 엘프/가피트.[편지]!tr (운항)
  • 뒷문.리눅스.BASHLITE.[letter] (Trend Micro)

아스 가피트

  • 엘프/가피트.[편지]!tr (운항)
  • 백도어.리눅스. 가프기트[편지] (카스퍼스키)
  • 디도스:리눅스/가프기트.YA!MTB(마이크로소프트)
  • ELF_GAFGYT.[letter] (트렌드 마이크로)

As QBot

  • 트로이 목마-PSW.Win32.Qbot(카스퍼스키)
  • 뒷문.Qbot(말웨어바이트)
  • Win32/Qakbot(마이크로소프트)
  • Bck/QBot(판다)
  • 말/Qbot-[글자] (소포)
  • W32.Qakbot (Symantec)
  • BKDR_QAKBOT(트렌드 마이크로)
  • TROJ_QAKBOT(트렌드 마이크로)
  • TSPY_QAKBOT(트렌드 마이크로)
  • WORM_QAKBOT(트렌드 마이크로)
  • 뒷문.Qakbot(VirusBuster)

애즈 핑크슬립

  • W32/핑크슬립봇(Mcafee)
As Torlus
별칭Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus, Ridget Stresser
유형봇넷
작성자도마뱀 분대
영향을 받는 운영 체제리눅스
기록 위치C

BASHLITE(Gafgyt, Lizkebab, PinkSlip, Qbot, TorlusRadagineStresser라고도 함)는 분산 서비스 거부 공격(DDoS)을 개시하기 위해 Linux 시스템을 감염시키는 악성 프로그램이다.[1]원래는 바쉬도어라는 이름으로도 알려졌으나,[2] 이 용어는 현재 악성코드가 사용하는 착취 방법을 가리킨다.최대 400Gbps의 공격을 개시하는 데 사용되어 왔다.[3]

2014년 원본은 Bash 셸의 결함인 Shellshock 소프트웨어 버그를 이용하여 BusyBox를 실행하는 장치를 이용했다.[4][5][6][7]몇 달 후 로컬 네트워크의 다른 취약한 장치도 감염시킬 수 있는 변종이 발견되었다.[8]2015년 소스코드가 유출돼 다양한 변종이 확산됐고 2016년까지 100만 대의 기기가 감염된 것으로 알려졌다.[9][10][11][12][13]

2016년 8월 이러한 봇넷에 참여한 식별 가능한 기기 중 거의 96%가 IoT 기기(이 중 95%는 카메라와 DVR), 약 4%는 홈 라우터였으며 1% 미만이 손상된 리눅스 서버였다.[9]

디자인

BASHLITE는 C로 작성되었으며, 다양한 컴퓨터 아키텍처와 쉽게 교차 컴파일되도록 설계되었다.[9]

정확한 기능은 변종마다 다르지만, 가장 일반적인 기능은[9] 개방형 TCP 연결을 유지하거나, 임의의 정크 문자열을 TCP 또는 UDP 포트에 보내거나, 지정된 플래그가 있는 TCP 패킷을 반복해서 보낼 수 있다는 몇 가지 다른 유형의 DDoS 공격을 발생시킨다.그들은 또한 감염된 기계에서 임의의 셸 명령을 실행하는 메커니즘을 가지고 있을 수 있다.반사 또는 증폭 공격을 위한 시설은 없다.

BASHLITE는 명령과 제어를 위해 클라이언트-서버 모델을 사용한다.통신에 사용되는 프로토콜은 본질적으로 IRC(인터넷 릴레이 채팅)의 경량 버전이다.[14]다중 명령어 및 제어 서버를 지원하지만 대부분의 변형에는 단일 명령어 및 제어 IP 주소 하드코딩만 있다.

그것은 일반적인 사용자 이름과 암호의 내장 사전을 사용하여 짐승 같은 강제력을 통해 전파된다.악성코드는 임의의 IP 주소에 연결되고 로그인을 시도하며, 성공적인 로그인은 명령어와 제어 서버에 다시 보고된다.

참고 항목

참조

  1. ^ Cimpanu, Catalin (30 August 2016). "There's a 120,000-Strong IoT DDoS Botnet Lurking Around". Softpedia. Retrieved 19 October 2016.
  2. ^ Tung, Liam (25 September 2014). "First attacks using shellshock Bash bug discovered". ZDNet. Retrieved 25 September 2014.
  3. ^ Ashford, Warwick (30 June 2016). "LizardStresser IoT botnet launches 400Gbps DDoS attack". Computer Weekly. Retrieved 21 October 2016.
  4. ^ Kovacs, Eduard (14 November 2014). "BASHLITE Malware Uses ShellShock to Hijack Devices Running BusyBox". SecurityWeek.com. Retrieved 21 October 2016.
  5. ^ Khandelwal, Swati (November 17, 2014). "BASHLITE Malware leverages ShellShock Bug to Hijack Devices Running BusyBox". The Hacker News. Retrieved 21 October 2016.
  6. ^ Paganini, Pierluigi (16 November 2014). "A new BASHLITE variant infects devices running BusyBox". Security Affairs. Retrieved 21 October 2016.
  7. ^ "Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware". Trend Micro. 25 September 2014. Retrieved 19 March 2017.
  8. ^ Inocencio, Rhena (13 November 2014). "BASHLITE Affects Devices Running on BusyBox". Trend Micro. Retrieved 21 October 2016.
  9. ^ a b c d "Attack of Things!". Level 3 Threat Research Labs. 25 August 2016. Archived from the original on 3 October 2016. Retrieved 6 November 2016.
  10. ^ "BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet". Full Circle. 4 September 2016. Retrieved 21 October 2016.
  11. ^ Masters, Greg (31 August 2016). "Millions of IoT devices enlisted into DDoS bots with Bashlite malware". SC Magazine. Retrieved 21 October 2016.
  12. ^ Spring, Tom (30 August 2016). "BASHLITE Family of Malware Infects 1 Million IoT Devices". Threatpost.com. Retrieved 21 October 2016.
  13. ^ Kovacs, Eduard (31 August 2016). "BASHLITE Botnets Ensnare 1 Million IoT Devices". Security Week. Retrieved 21 October 2016.
  14. ^ Bing, Matthew (29 June 2016). "The Lizard Brain of LizardStresser". Arbor Networks. Retrieved 6 November 2016.