BASHLITE

BASHLITE (auch bekannt als Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus und LizardStresser) ist Malware, die Linux-Systeme infiziert, um Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) zu starten.^[1] Sie wurde bereits verwendet, um Angriffe von bis zu 400 Gbps zu starten.^[2] Die Malware war zuerst unter dem Namen Bashdoor bekannt,^[3] aber so wird nun das von der Software verwendete Exploit genannt.

BASHLITE
Name	BASHLITE
Aliase	Gafgyt, Lizkebab, PinkSlip, Qbot, Torlus, LizardStresser
Autoren	Pseudonym „Lizard Squad“
System	Linux
Programmiersprache	C
Info	Errichtet ein Botnet

Die Originalversion aus 2014 nutzte eine Schwachstelle in der Bash Shell – die Shellshock-Sicherheitslücke – aus, um Geräte, die BusyBox verwenden, anzugreifen.^[4][5][6][7] Einige Monate später wurde eine Variante gefunden, die auch andere unsichere Geräte im lokalen Netzwerk infizieren konnte.^[8] 2015 wurde der Source Code geleakt, wodurch viele weitere Varianten entstanden.^[9] 2016 wurde gemeldet, dass eine Million Geräte infiziert worden waren.^{[10][11][12][13]}

Von den identifizierbaren Geräten in dem Botnet im August 2016 waren fast 96 % IoT-Geräte (von welchen 95 % Kameras und DVRs waren) und grob 4 % Heimnetzrouter. Kompromittierte Linux-Server machten einen Anteil von unter einem Prozent aus.^[9]

Design

BASHLITE wurde in C geschrieben und so designet, dass die Software einfach zu anderen Computer-Architekturen zu cross-compilen ist.^[9]

Die exakten Fähigkeiten unterscheiden sich bei Varianten, aber die am häufigsten implementierten Features^[9] erlauben die Ausführung verschiedener Arten von DDoS-Attacken:

• Offenhalten von TCP-Verbindungen
• Senden von zufälligen „Junk-Daten“ an einen TCP oder UDP-Port
• Mehrfaches Senden von TCP-Paketen mit spezifizierten Flags.

Manche Varianten erlauben dem Angreifer auch das arbiträre Ausführen von Shell-Befehlen auf dem infizierten Gerät.

BASHLITE nutzt ein Client-Server-Modell für Command and Control. Das für die Kommunikation verwendete Protokoll ist im Prinzip eine leichtere Version des Internet-Relay-Chat-Protokolls (IRC-Protokolls).^[14] Obwohl mehrere Command-and-Control-Server unterstützt werden, haben die meisten Varianten einen einzigen Befehl oder eine einzige IP-Adresse hartkodiert.

Die Malware verbreitet sich mithilfe von Brute-Force-Attacken; eine mitgepackte Liste von häufigen Nutzernamen und Passwörtern wird wie folgt verwendet: BASHLITE verbindet sich mit einer zufälligen IP-Adresse und versucht sich einzuloggen, wobei erfolgreiche Versuche dem Command-and-Control-Server gemeldet werden.

Technische Bezeichnungen

Als BashLite

• ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
• Backdoor.Linux.BASHLITE.[Buchstabe] (Trend Micro)

Als Gafgyt

• ELF/Gafgyt.[Buchstabe]!tr (Fortinet)
• HEUR:Backdoor.Linux.Gafgyt.[Buchstabe] (Kaspersky)
• DDoS:Linux/Gafgyt.YA!MTB (Microsoft)
• ELF_GAFGYT.[Buchstabe] (Trend Micro)

Als QBot

• Trojan-PSW.Win32.Qbot (Kaspersky)
• Backdoor.Qbot (Malwarebytes)
• Win32/Qakbot (Microsoft)
• Bck/QBot (Panda)
• Mal/Qbot-[Buchstabe] (Sophos)
• W32.Qakbot (Symantec)
• BKDR_QAKBOT (Trend Micro)
• TROJ_QAKBOT (Trend Micro)
• TSPY_QAKBOT (Trend Micro)
• WORM_QAKBOT (Trend Micro)
• Backdoor.Qakbot (VirusBuster)

Als PinkSlip

• W32/Pinkslipbot (McAfee)

Siehe auch

• Low Orbit Ion Cannon – ein Lasttest-Computerprogramm, das für DDoS-Angriffe verwendet worden ist

Einzelnachweise

1. Catalin Cimpanu: There's a 120,000-Strong IoT DDoS Botnet Lurking Around. In: Softpedia. 30. August 2016, abgerufen am 19. Oktober 2016 (englisch). 
2. Warwick Ashford: LizardStresser IoT botnet launches 400Gbps DDoS attack. In: Computer Weekly. 30. Juni 2016, abgerufen am 21. Oktober 2016 (englisch). 
3. Liam Tung: First attacks using shellshock Bash bug discovered. In: ZDNet. 25. September 2014, abgerufen am 25. September 2014 (englisch). 
4. Eduard Kovacs: BASHLITE Malware Uses ShellShock to Hijack Devices Running BusyBox. In: SecurityWeek.com. 14. November 2014, abgerufen am 21. Oktober 2016 (englisch). 
5. Swati Khandelwal: BASHLITE Malware leverages ShellShock Bug to Hijack Devices Running BusyBox. In: The Hacker News. 17. November 2014, abgerufen am 21. Oktober 2016 (englisch). 
6. Pierluigi Paganini: A new BASHLITE variant infects devices running BusyBox. In: Security Affairs. 16. November 2014, abgerufen am 21. Oktober 2016 (englisch). 
7. Bash Vulnerability (Shellshock) Exploit Emerges in the Wild, Leads to BASHLITE Malware. In: Trend Micro. 25. September 2014, abgerufen am 19. März 2017 (englisch). 
8. Rhena Inocencio: BASHLITE Affects Devices Running on BusyBox. In: Trend Micro. 13. November 2014, abgerufen am 21. Oktober 2016 (englisch). 
9. Attack of Things! In: Level 3 Threat Research Labs. 25. August 2016, archiviert vom Original am 3. Oktober 2016; abgerufen am 6. November 2016 (englisch). 
10. BASHLITE malware turning millions of Linux Based IoT Devices into DDoS botnet. In: Full Circle. 4. September 2016 (englisch, fullcirclemagazine.org [abgerufen am 21. Oktober 2016]). 
11. Greg Masters: Millions of IoT devices enlisted into DDoS bots with Bashlite malware. In: SC Magazine. 31. August 2016 (englisch, scmagazine.com [abgerufen am 21. Oktober 2016]). 
12. Tom Spring: BASHLITE Family of Malware Infects 1 Million IoT Devices. In: Threatpost.com. 30. August 2016, abgerufen am 21. Oktober 2016 (englisch). 
13. Eduard Kovacs: BASHLITE Botnets Ensnare 1 Million IoT Devices. In: Security Week. 31. August 2016, abgerufen am 21. Oktober 2016 (englisch). 
14. Matthew Bing: The Lizard Brain of LizardStresser. In: Arbor Networks. 29. Juni 2016, abgerufen am 6. November 2016 (en∫∫).