Bashlite Malware

Bashlite - это вредоносная программа, заражающая устройства "Интернета вещей" (Internet of Things) для распределенных атак типа "отказ в обслуживании" (DDoS).

Bashlite Malware

Bashlite нацелен на WeMo - IoT-устройство "умного дома" с включенным API Universal Plug and Play (UPnP). Bashlite удаленно выполняет код (Remote Code Execution, RCE), используя для проникновения на целевое устройство общедоступный модуль Metasploit, а не конкретную уязвимость с присвоенным CVE-номером. Добавленные команды также позволяют выполнять такие действия, как обнаружение виртуальной валюты, создание бэкдоров и удаление конкурирующего вредоносного ПО. WeMo - дочерняя компания Belkin, представляет собой серию продуктов Belkin, которые позволяют пользователям удаленно управлять домашней электроникой. В набор продуктов входят электрические вилки, датчики движения, выключатели света, камеры, лампочки и мобильное приложение.

Предыдущие версии Bashlite

Bashlite (также известный как 'Gafgyt', 'Lizkebab', 'Qbot', 'Torlus' и 'LizardStresser') получил известность благодаря масштабной DDoS-атаке, выявленной в 2004 году. С тех пор он был обнаружен в атаках, заражающих IoT-устройства. Было подтверждено, что ранние версии используют уязвимость в оболочке Bash Unix-подобной операционной системы, известную как Shellshock, для проникновения на устройства. После проникновения в устройство злоумышленник удаленно выполняет команды для проведения DDoS-атак и загрузки файлов, что схоже по способу действия с DDoS-атаками, подтвержденными в 2016 году.

Indicators of Compromise

IPv4

• 13.250.126.74
• 15.204.49.165
• 15.235.131.10
• 2.56.56.94
• 2.57.122.117
• 2.58.149.173
• 2.58.149.40
• 20.25.153.134
• 20.63.103.150
• 23.160.192.157
• 23.160.193.123
• 23.160.193.38
• 23.160.193.99
• 23.224.189.182
• 23.225.14.201
• 23.225.14.209
• 23.227.146.106
• 23.227.184.194
• 23.88.113.7
• 23.94.138.109
• 23.94.182.29
• 23.94.190.149
• 23.94.22.112
• 23.94.24.109
• 23.94.245.9
• 23.94.26.138
• 23.94.27.204
• 23.94.36.134
• 23.94.7.153
• 23.94.7.197
• 23.94.77.150
• 23.95.213.111
• 23.95.222.185
• 23.95.226.100
• 23.95.230.108
• 23.95.9.231
• 3.143.112.92
• 3.69.60.58
• 3.75.95.184
• 31.210.20.60
• 31.214.243.29
• 31.214.243.99
• 31.220.51.145
• 31.222.202.229
• 31.42.186.52
• 31.42.186.77
• 31.7.62.22
• 34.127.55.77
• 35.204.65.246
• 37.0.10.182
• 37.0.10.210
• 37.0.10.214
• 37.221.65.228
• 37.221.65.77
• 37.221.92.202
• 37.44.238.172
• 37.44.238.182
• 37.44.238.191
• 37.44.238.234
• 37.49.229.52
• 37.49.230.122
• 37.49.230.83
• 38.48.123.55
• 41.216.182.131
• 41.216.182.140
• 41.216.182.144
• 41.216.182.17
• 41.216.182.203
• 41.216.182.214
• 41.216.182.42
• 43.153.37.45
• 45.11.181.37
• 45.124.84.253
• 45.128.153.154
• 45.128.232.144
• 45.128.234.72
• 45.132.88.184
• 45.134.10.88
• 45.134.11.110
• 45.137.206.188
• 45.14.226.72
• 45.140.188.109
• 45.140.188.33
• 45.140.188.40
• 45.141.239.114
• 45.142.107.167
• 45.144.179.23
• 45.144.29.99
• 45.145.226.64
• 45.148.10.243
• 45.148.10.76
• 45.148.120.171
• 45.148.120.226
• 45.148.120.80
• 45.148.121.228
• 45.32.202.111
• 45.33.63.122
• 45.56.96.91
• 45.61.144.146
• 45.61.186.4
• 45.61.187.108
• 45.61.188.118
• 45.61.188.150
• 45.61.188.220
• 45.66.230.173
• 45.76.253.113
• 45.77.46.118
• 45.79.127.90
• 45.79.207.123
• 45.81.39.172
• 45.85.90.172
• 45.88.66.177
• 45.9.168.102
• 45.90.14.172
• 45.90.160.173
• 45.90.161.73
• 45.90.161.92
• 45.90.162.184
• 45.95.169.115
• 45.95.169.119
• 45.95.169.133
• 45.95.55.232
• 45.95.55.54
• 5.154.181.68
• 5.181.159.128
• 5.181.159.19
• 5.181.80.119
• 5.181.80.13
• 5.181.80.18
• 5.181.80.188
• 5.182.210.145
• 5.188.6.139
• 5.189.141.159
• 5.199.169.12
• 5.199.169.21
• 5.2.70.22
• 5.2.73.241
• 5.206.227.11
• 5.206.227.132
• 5.206.227.77
• 5.249.162.136
• 5.252.199.138
• 5.255.101.135
• 5.255.98.75

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Bashlite.