Bashlite IoT恶意软件更新

概览

Trend Micro研究人员发现一个感染IoT设备来构建DDOS僵尸网络的恶意软件Bashlite变种。根据恶意软件利用的Metasploit模块，恶意软件会攻击含有WeMo UPNP应用程序接口（API）的设备。

Bashlite也叫Gafgyt, Lizkebab, Qbot, Torlus, LizardStresser，自2014年开始被用于大规模的DDOS攻击活动中。在之前的攻击活动中，Bashlite利用Shellshock来在有漏洞的设备上立足，然后远程执行命令来发起DDOS攻击并下载其他文件到被入侵的设备上。

更新的Bashlite释放的传播方法并不依赖于特定的漏洞，而是使用公开的远程代码执行RCE Metasploit模块。Bashlite目前还支持DDOS相关的命令，增加了加密货币挖矿和后门功能，同时可以传播可以移除具有竞争关系的僵尸网络恶意软件的恶意软件。

漏洞利用会攻击WeMo设备，但是并没有一个要攻击的目标WeMo设备列表。只需要检查设备是否支持WeMo UPnP API就可以了。因此造成的影响是非常大的。WeMo旗下有许多联网的产品，包括摄像头、电子插座、灯泡、移动传感器等等，还有一个使用WiFi网络来无线控制IoT设备的手机应用程序。

Trend Micro智能产品从3月21日开始就检测到了该新变种开始活跃，主要攻击的地区有中国台湾、美国、泰国、马来西亚、日本和加拿大等。

 图1. Bashlite感染链 

图2. 显示网络信息的代码（上）Metasploit模块代码（下）

感染链

研究人员分析Bashlite样本发现根据感染的设备架构不同，设备也是不同的。最新的Bashlite使用telnet扫描器和用户名密码组合来暴力破解设备，使用的用户名和密码组合有：root, 9615-cdp, admin, admin123, huigu309, xc3511, vizxv, Dvrdvs。

Bashlite用扫描器来找出要感染的潜在设备，然后发送释放器二进制文件到有漏洞的设备。这就是释放期支持的提取和释放Hakai僵尸网络恶意软件的方式，使用的代码是基于Bashlite的。在Bashlite中，根据不同的架构嵌入了不同的释放期二进制文件。图3是嵌入的二进制文件提取和复制的方式。

作为C2通信的一部分，恶二进制文件释放器会连接到178[.]128[.]185[.]250/hakai[.]x86，也会连接到185[.]244[.]25[.]213:3437。

图3. Hakai恶意软件支持在另一个设备上下载和执行

图4.负责提取（上）和复制（下）嵌入的二进制文件的函数代码

后门和DDOS功能

最著名的Bashlite后门命令包括同时启动针对目标设备的多个DDOS洪泛进程，下载和执行加密货币挖矿恶意软件和清除其他恶意软件。该恶意软件还有专门应对DDOS缓解服务的代码。

下面是一些Bashlite的后门命令：

· PINGING:与IRC消息类似，恶意软件会回复PONGING。

· ECHOSCAN: 切换Telnet扫描器。

· OELINUX: 与ECHOSCAN 类似，但是攻击目标是嵌入式系统。

· CFBYPASS: 用来绕过ddos缓解服务。

图5. 后门命令PINGING, ECHOSCAN(上), OELINUX, CFBYPASS代码(下)

Bashlite还可以用下面的命令来启动多种类型的DDOS攻击：

· HOLD: 连接到IP地址和端口，持续特定时间

· JUNK: 与HOLD类似，但是会发送随机生成的字符串到IP地址

· UDP: 用洪泛UDP包的方式攻击设备

· ACK: 发送ACK信号来破坏网络活动

· VSE: 用来消耗目标资源的放大攻击

· TCP: 发送无数的TCP请求

· OVH: 用来绕过DDOS缓解服务的DDOS攻击

· STD: 与UDP包洪泛类似

· GRENADE: 启动所有的DDOS命令

Bashlite还有一些其他非常有名的命令。比如，BRICKER命令就会从特定的URL来下载和执行一个bricker恶意软件来清除竞争的僵尸网络。Miner命令会下载和执行加密货币挖矿恶意软件，而PKILL命令会终止特定进程。

图6. 表明不同的DDoS相关的命令的代码

IoT安全思考

从智能家居到复杂的IoT环境，联网设备越来越多给我们提供了很多便利和效率，同时如果配置不当或本身存在安全问题会给我们带来很多潜在的风险。Bashlite只是其中一个威胁用户隐私、网络信息安全和人身安全的威胁。因此设备制造商应该将安全融入设计、生产的全部环节，用户也应该遵循最佳安全实践来应对潜在风险。