BashLite僵尸网络更新,新恶意功能“如虎添翼”

关注 2019-04-08 06:06:29 查看数 10053 ,评论数 0 资讯

Trend Micro研究人员发现一个感染物联网设备来构建DDOS僵尸网络的恶意软件Bashlite变种。根据恶意软件利用的Metasploit模块,恶意软件会攻击含有WeMo通用即插即用(UPnP)应用程序接口(API)的设备。


安全研究人员最近发现了四个新版本的Bashlite僵尸网络。它们分别被命名为Backdoor.Linux.BASHLITE.SMJC4、Backdoor.Linux.BASHLITE.AMF、Troj.ELF.TRX.XXELFC1DFF002和Trojan.SH.BASHDLOD.AMF。

虽然没有对这些新变体进行深入检测,但研究人员已经注意到它们已经在公众中得到了应用。在台湾、美国、泰国、马来西亚、日本和加拿大等地都观察到一些感染案例。


Bashlite僵尸网络


Bashlite僵尸网络最初是针对物联网设备而开发的恶意软件,又名Gafgyt、Lizkebab、Qbot、Torlus和LizardStresster,于2014年开始被用于大规模DDoS攻击。但随后,该物联网恶意软件通过一次次升级更新,已远远超过其本来的功能。


在之前的攻击活动中,Bashlite利用Shellshock来在有漏洞的设备上立足,然后远程执行命令来发起DDOS攻击并下载其他文件到被入侵的设备上。更新的Bashlite释放的传播方法并不依赖于特定的漏洞,而是使用公开的远程代码执行RCE Metasploit模块。

Bashlite感染链

代码显示以WeMo API设备为攻击目标的网络指示器

上述代码同样出现在Metasploit模块中


更新版本


Bashlite僵尸网络此次被观察到的四个更新版本之一,添加了加密货币挖矿和后门功能。网络安全公司趋势科技的研究人员也指出,该变体可以用于分发其他恶意软件,并从系统中删除其他僵尸网络。

研究人员分析,该变体滥用公共可用的远程代码执行(RCE)Metasploit模块进行传播。研究人员解释说,“其利用的漏洞没有针对WeMo设备的列表。它只需要检查设备是否启用了WeMo UPnP API,这一检查结果至关重要。WeMo的家庭自动化产品包括互联网摄像头、电子插座、灯开关、灯泡,以及运动传感器等。所有这些物联网设备都可以通过一个以Wi-Fi网络无线连接的移动应用程序来控制。”


新添加的恶意功能


新版Bashlite僵尸网络能够同时发起多种类型的DDoS攻击。它还可以下载和执行加密货币挖矿和“变砖”恶意软件。


下面是一些Bashlite的后门命令:


PINGING:与IRC消息类似,恶意软件会回复PONGING;

ECHOSCAN: 切换Telnet扫描器;

OELINUX: 与ECHOSCAN 类似,但是攻击目标是嵌入式系统;

CFBYPASS: 用来绕过ddos缓解服务。

后门命令PINGING和ECHOSCAN的代码

后门命令OELINUX和CFBYPASS的代码


Bashlite随后启动DDoS攻击的一些命令包括:


HOLD:连接到IP地址和端口,并持续指定的时间;

JUNK:与HOLD相同,但也会将随机生成的字符串发送到IP地址;

UDP:使用用户数据报协议(UDP)数据包来“洪泛”目标;

ACK:发送ACK信号以中断网络活动;

VSE:用于消耗目标(如服务器)资源的放大攻击;

TCP:发送大量基于传输控制协议(TCP)的请求;

OVH:绕过DDoS缓解服务(mitigation service)的DDoS攻击;

STD:与UDP类似(使用UDP数据包来“洪泛”目标);

GRENADE:启动所有DDoS命令。

显示不同DDoS相关命令的代码片段


妥协指标(IoCs)


相关恶意URL:


hxxp://185[.]244[.]25[.]213/ECHOBOT[.]mips

hxxp://185[.]244[.]25[.]213/UqHDZbqr9S[.]sh


总结


随着智能家居中使用的互联网连接设备越来越普及,研究人员指出,包括Bashlite僵尸网络在内的多个针对物联网的恶意软件将成为影响用户隐私安全甚至财产安全的众多威胁之一。因此设备制造商应该将安全融入设计、生产的全部环节,用户也应该遵循最佳安全实践来应对潜在风险。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...