BASHLITE Malware

 

BASHLITE es un malware que infecta los sistemas Linux para lanzar ataques distribuidos de denegación de servicio. Originalmente también se conocía con el nombre de Bashdoor, pero este término ahora se refiere al método de explotación utilizado por el malware. Se ha utilizado para lanzar ataques de hasta 400 Gbps

Bashlite (también conocido como Gafgyt, Lizkebab, Qbot, Torlus y LizardStresser) ganó notoriedad por su uso en ataques DDoS a gran escala en 2014, pero desde entonces ha pasado a infectar dispositivos IoT. En sus iteraciones anteriores, Bashlite aprovechó Shellshock para afianzarse en los dispositivos vulnerables. Luego, un atacante puede emitir comandos de forma remota, en particular, para lanzar ataques DDoS de manera similar a la forma en que se usó en 2016, y descargar otros archivos en los dispositivos comprometidos.

Esta iteración actualizada de Bashlite es notable. Por un lado, su método de llegada es único en el sentido de que no se basa en vulnerabilidades específicas (por ejemplo, fallas de seguridad asignadas con CVE). En su lugar, abusa de un módulo Metasploit de ejecución remota de código (RCE) disponible públicamente . Ahora también cuenta con comandos adicionales relacionados con DDoS, y agregó otros nuevos que le dieron al malware capacidades de minería de criptomonedas y puerta trasera. También puede entregar malware que elimina el malware de botnet de la competencia.

El exploit utilizado no tiene una lista de dispositivos WeMo específicos. Solo necesita verificar si el dispositivo está habilitado con la API WeMo UPnP. El impacto podría ser significativo. Los productos de automatización del hogar de WeMo , por ejemplo, van desde cámaras conectadas a Internet, enchufes eléctricos e interruptores de luz y bombillas hasta sensores de movimiento. Cuenta con una aplicación móvil que utiliza la red Wi-Fi para controlar dispositivos IoT de forma inalámbrica.

Si bien no hemos visto detecciones significativas para estas versiones de Bashlite, vale la pena señalar que ya está disponible, según los comentarios de Trend Micro™ Smart Protection Network™ . Las detecciones, vistas el pasado 21 de marzo, se observaron en Taiwán, Estados Unidos, Tailandia, Malasia, Japón y Canadá.

Cadena de infección

Bashlite utiliza el escáner para encontrar posibles máquinas para infectar. Luego enviará un cuentagotas binario (XORred, con clave = 0x54) a la máquina vulnerable. Cabe destacar aquí la forma en que se supone que el cuentagotas binario recupera y elimina el malware de botnet Hakai , cuyo código se basa en Bashlite y se vio apuntando a los enrutadores el año pasado. Sin embargo, ya no se puede acceder a la URL desde la que se supone que se debe descargar Hakai. Hay varios binarios cuentagotas integrados en Bashlite, diseñados para diferentes arquitecturas. La Figura 3 muestra cómo se recuperan y descargan los archivos binarios incrustados.

Como parte de su comunicación de comando y control (C&C), el cuentagotas binario se conecta a 178[.]128[.]185[.]250/hakai[.]x86. También se conecta a 185[.]244[.]25[.]213:3437 para las rutinas de puerta trasera de Bashlite.