Обновление вредоносного ПО Bashlite IoT позволяет использовать устройства домашней автоматизации WeMo

Новая версия Bashlite не была широко обнаружена, но была обнаружена заражающих устройств в дикой природе.

Каталин Чимпану за нулевой день | 3 апреля 2019. 15:03 GMT (08:03 PDT) | Тема: Безопасность

wemo.jpg

Безопасность

За последние несколько недель версия вредоносного ПО Bashlite IoT получила обновление, позволяющее ориентироваться на коммутаторы домашней автоматизации Belkin WeMo.

Кроме того, в рамках этого обновления вредоносная программа теперь может открывать «черные ходы» и запускать команды на зараженных устройствах, развертывать модуль майнинга криптовалюты, может обнаруживать и удалять конкурирующее вредоносное ПО IoT, а также расширяет типы атак DDoS, которые она может запускать с зараженных устройств. ,

«Несмотря на то, что мы не видели значительных обнаружений для этих версий Bashlite, стоит отметить, что он уже находится в дикой природе». говорится в сообщении компании Trend Micro в сегодняшнем докладе.

Автор ботнета использует модуль MSF для начальной точки опоры

Эксперты компании считают, что человек, который модифицировал последние версии вредоносного программного обеспечения Bashlite, чтобы улучшить его с помощью новой функциональности, использует модуль для инфраструктуры тестирования на проникновение Metasploit для заражения интеллектуальных устройств с помощью Belkin WeMo UPnP SDK.

Это включает в себя переключатели домашней автоматизации Belkin WeMo, а также маршрутизаторы, интеллектуальные лампочки, электрические вилки, выключатели света, датчики движения, камеры наблюдения и другие устройства, которые поддерживают этот SDK.

Belkin исправил уязвимость, использованную этим ботнетом Bashlite, еще в 2015 году. Это означает, что в настоящее время риску подвергаются только владельцы устройств, которые не применили многолетние исправления микропрограмм.

Кроме того, в соответствии с предыдущими итерациями вредоносного ПО Bashlite IoT (также известного под такими именами, как Gafgyt, Lizkebab, Qbot, Torlus и LizardStresser), вредоносное ПО использует дополнительные эксплойты и сканер Telnet для грубого проникновения на другие устройства. все еще работают заводские учетные данные по умолчанию.

bashlite-ИТН-malware.png

Новости об этом новом варианте Bashlite для устройств домашней автоматизации появились осенью прошлого года. Palo Alto Networks обнаружила еще один вариант Bashlite для корпоративных серверов, таких как Apache Struts, SonicWall и другие.

Bashlite экосистема хромых ботнетов

Но, оглядываясь назад, это не удивительно. Большинство ботнетов, основанных на ботнетах, напоминают гигантские головоломки. Все они основаны на оригинальной вредоносной программе Bashlite, которая была выпущена онлайн командой Lizard Squad DDoSing несколько лет назад.

За последние несколько лет скучающие подростки и преступные группы использовали тот же код, что и каркас, для создания бот-сетей.

Все варианты Bashlite являются исходным кодом Bashlite вместе с эксплойтами, которые владелец бот-сети обычно получает из общедоступных репозиториев эксплойтов, таких как ExploitDB.

Большинство из этих бот-сетей вымирают в течение нескольких недель, поскольку у владельца бот-сети заканчиваются деньги на оплату постоянно растущих расходов на хостинг, или они осознают преступный характер своих действий, или им просто скучно.

Однако немногие ботнеты задерживаются, обычно те, которые управляются профессиональными киберпреступными бандами, которые рекламируют свои возможности на подпольных форумах хакеров или собирают эти ботнеты в общедоступных сервисах DDoS-на-найме (DDoS-бустеры / стрессеры).

Судя по всему, обнаруженный Trend Micro относится к первой категории маленьких ботнетов, созданных любителями, и ожидается, что в ближайшем будущем они исчезнут.