Bashlite - это вредоносная программа, заражающая устройства "Интернета вещей" (Internet of Things) для распределенных атак типа "отказ в обслуживании" (DDoS).
Bashlite Malware
Bashlite нацелен на WeMo - IoT-устройство "умного дома" с включенным API Universal Plug and Play (UPnP). Bashlite удаленно выполняет код (Remote Code Execution, RCE), используя для проникновения на целевое устройство общедоступный модуль Metasploit, а не конкретную уязвимость с присвоенным CVE-номером. Добавленные команды также позволяют выполнять такие действия, как обнаружение виртуальной валюты, создание бэкдоров и удаление конкурирующего вредоносного ПО. WeMo - дочерняя компания Belkin, представляет собой серию продуктов Belkin, которые позволяют пользователям удаленно управлять домашней электроникой. В набор продуктов входят электрические вилки, датчики движения, выключатели света, камеры, лампочки и мобильное приложение.
Предыдущие версии Bashlite
Bashlite (также известный как 'Gafgyt', 'Lizkebab', 'Qbot', 'Torlus' и 'LizardStresser') получил известность благодаря масштабной DDoS-атаке, выявленной в 2004 году. С тех пор он был обнаружен в атаках, заражающих IoT-устройства. Было подтверждено, что ранние версии используют уязвимость в оболочке Bash Unix-подобной операционной системы, известную как Shellshock, для проникновения на устройства. После проникновения в устройство злоумышленник удаленно выполняет команды для проведения DDoS-атак и загрузки файлов, что схоже по способу действия с DDoS-атаками, подтвержденными в 2016 году.
Indicators of Compromise
IPv4
- 13.250.126.74
- 15.204.49.165
- 15.235.131.10
- 2.56.56.94
- 2.57.122.117
- 2.58.149.173
- 2.58.149.40
- 20.25.153.134
- 20.63.103.150
- 23.160.192.157
- 23.160.193.123
- 23.160.193.38
- 23.160.193.99
- 23.224.189.182
- 23.225.14.201
- 23.225.14.209
- 23.227.146.106
- 23.227.184.194
- 23.88.113.7
- 23.94.138.109
- 23.94.182.29
- 23.94.190.149
- 23.94.22.112
- 23.94.24.109
- 23.94.245.9
- 23.94.26.138
- 23.94.27.204
- 23.94.36.134
- 23.94.7.153
- 23.94.7.197
- 23.94.77.150
- 23.95.213.111
- 23.95.222.185
- 23.95.226.100
- 23.95.230.108
- 23.95.9.231
- 3.143.112.92
- 3.69.60.58
- 3.75.95.184
- 31.210.20.60
- 31.214.243.29
- 31.214.243.99
- 31.220.51.145
- 31.222.202.229
- 31.42.186.52
- 31.42.186.77
- 31.7.62.22
- 34.127.55.77
- 35.204.65.246
- 37.0.10.182
- 37.0.10.210
- 37.0.10.214
- 37.221.65.228
- 37.221.65.77
- 37.221.92.202
- 37.44.238.172
- 37.44.238.182
- 37.44.238.191
- 37.44.238.234
- 37.49.229.52
- 37.49.230.122
- 37.49.230.83
- 38.48.123.55
- 41.216.182.131
- 41.216.182.140
- 41.216.182.144
- 41.216.182.17
- 41.216.182.203
- 41.216.182.214
- 41.216.182.42
- 43.153.37.45
- 45.11.181.37
- 45.124.84.253
- 45.128.153.154
- 45.128.232.144
- 45.128.234.72
- 45.132.88.184
- 45.134.10.88
- 45.134.11.110
- 45.137.206.188
- 45.14.226.72
- 45.140.188.109
- 45.140.188.33
- 45.140.188.40
- 45.141.239.114
- 45.142.107.167
- 45.144.179.23
- 45.144.29.99
- 45.145.226.64
- 45.148.10.243
- 45.148.10.76
- 45.148.120.171
- 45.148.120.226
- 45.148.120.80
- 45.148.121.228
- 45.32.202.111
- 45.33.63.122
- 45.56.96.91
- 45.61.144.146
- 45.61.186.4
- 45.61.187.108
- 45.61.188.118
- 45.61.188.150
- 45.61.188.220
- 45.66.230.173
- 45.76.253.113
- 45.77.46.118
- 45.79.127.90
- 45.79.207.123
- 45.81.39.172
- 45.85.90.172
- 45.88.66.177
- 45.9.168.102
- 45.90.14.172
- 45.90.160.173
- 45.90.161.73
- 45.90.161.92
- 45.90.162.184
- 45.95.169.115
- 45.95.169.119
- 45.95.169.133
- 45.95.55.232
- 45.95.55.54
- 5.154.181.68
- 5.181.159.128
- 5.181.159.19
- 5.181.80.119
- 5.181.80.13
- 5.181.80.18
- 5.181.80.188
- 5.182.210.145
- 5.188.6.139
- 5.189.141.159
- 5.199.169.12
- 5.199.169.21
- 5.2.70.22
- 5.2.73.241
- 5.206.227.11
- 5.206.227.132
- 5.206.227.77
- 5.249.162.136
- 5.252.199.138
- 5.255.101.135
- 5.255.98.75
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Bashlite.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-21, CWE-22, CWE-23, CWE-28 | Обход имени пути | Высокий |
2 | T1040 | CWE-294, CWE-319 | Обход аутентификации путем перехвата и повторного воспроизведения информации | Высокий |
3 | T1055 | CWE-74 | Инъекция | Высокий |
4 | T1059 | CWE-88, CWE-94, CWE-1321 | Межсайтовый скриптинг | Высокий |
5 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |