Bashlite IoT 惡意程式新增挖礦與後門功能,專門攻擊 WeMo 品牌裝置

最近,趨勢科技發現 Bashlite 惡意程式出現新的版本,會將其感染的物聯網(IoT ,Internet of Thing裝置收編到某個殭屍網路來發動分散式阻斷服務 (DDoS) 攻擊。趨勢科技將這些惡意程式命名為 Backdoor.Linux.BASHLITE.SMJC4、Backdoor.Linux.BASHLITE.AMF、Troj.ELF.TRX.XXELFC1DFF002 以及 Trojan.SH.BASHDLOD.AMF。根據其採用的 Metasploit 模組來看,此惡意程式專門鎖定採用 WeMo Universal Plug and Play (UPnP) 通用隨插即用應用程式開發介面 (API) 的裝置來攻擊。

Bashlite 惡意程式亦稱為 Gafgyt、Lizkebab、Qbot、Torlus 或 LizardStresser,其最為人知的不良事蹟是 2014 年曾發動大規模分散式阻斷服務攻擊 (DDoS),如今它甚至開始跨界感染 IoT 裝置。先前的 Bashlite 版本會利用 Shellshock 漏洞來入侵裝置,然後再透過遠端指令遙控被入侵的裝置發動 DDoS 攻擊 (如 2016 年所發生的事件),或者再下載其它惡意檔案到被入侵的裝置。

這次發現的新版 Bashlite 相當值得關注。首先,其感染方式已不再仰賴特定 CVE 漏洞,而是使用可公開取得的 Metasploit 漏洞攻擊模組。此外,新版也支援更多 DDoS 遠端遙控指令,以及一些虛擬貨幣和後門功能。同時,還會在裝置上植入惡意程式來將競爭對手的殭屍病毒移除。

其漏洞攻擊模組當中並無鎖定的 WeMo 裝置清單,因為它會檢查裝置是否支援 WeMo UPnP API,所以影響的範圍相當廣泛,涵蓋 WeMo 的所有家庭自動化產品,如:網路攝影機、電源插座、照明開關、燈泡、動作感應器等等。該公司還開發了一個行動應用程式讓使用者透過 Wi-Fi 無線網路來操控其 IoT 裝置。

儘管目前我們尚未大量偵測到這個新版的 Bashlite,但值得注意的是根據趨勢科技 趨勢科技Smart Protection Suites™ 全球威脅情報網的資料,它已經在外流傳。根據我們 3 月 21 日的資料發現台灣、美國、泰國、馬來西亞、日本及加拿大都有它的蹤跡。

我們已經將這項發現通報給 Belkin,該公司也針對此惡意程式所攻擊的漏洞發出了一份正式聲明:「Belkin 致力維護產品與客戶的安全。本文所述之漏洞已在 2015 年發現並針對所有受影響的裝置進行修補。我們強烈鼓勵客戶更新自己的裝置和行動應用程式來取得最新的安全修正。」


圖 1:Bashlite 惡意程式感染過程。


圖 2:根據趨勢科技的Deep Discovery Inspector 的分析資料顯示此惡意程式會攻擊具備 WeMo API的裝置 (上)。同樣地,Metasploit 模組也具備此能力 (下)。

感染過程
在我們分析到的 Bashlite 樣本當中,有些會根據其感染裝置的架構而有不同行為。這些較新的 Bashlite 版本會使用 Telnet 掃瞄程式並以下列帳號密碼來試圖登入目標裝置:root、9615-cdp、admin、admin123、huigu309、xc3511、vizxv Dvrdvs。

Bashlite 先是利用掃瞄程式來搜尋可感染的裝置,接著再發送一個二進位檔案 (XORred,key=0x54) 到含有漏洞的裝置。值得注意的是,二進位檔案是用來擷取和植入 Hakai 殭屍病毒,該病毒的程式碼是從 Bashlite 衍生而來,並且在去年曾經攻擊路由器。不過,Hakai 的下載網址目前已無法連上。Bashlite 當中內嵌了多個二進位檔案來對應不同的架構。圖 3 顯示這些內嵌的二進位檔案如何取出。

被植入的二進位檔案會與其幕後操縱 (C&C) 伺服器聯繫,連線位址為:178.128.185.250/hakai.x86。此外,還會連線至 185.244.25.213:3437 來支援 Bashlite 的後門功能。


圖 3:從圖中可看出還有 Hakai 惡意程式應該也會下載至裝置上執行。


圖 4:上下兩圖分別顯示用來擷取 (上) 以及在裝置植入 (下) 內嵌二進位檔案的程式碼。

後門與 DDoS 功能
Bashlite 最值得注意的後門指令是同時對單一目標發動多項不同類型的 DDoS 攻擊,以及下載並執行虛擬加密貨幣挖礦程式與永久破壞裝置的惡意程式。此外,其程式碼還有避開 DDoS 防範服務的設計。

以下是一些 Bashlite 支援的後門指令:

  • PINGING:類似 IRC 網路聊天訊息的功能,惡意程式會回覆 PONGING 指令。
  • ECHOSCAN:Telnet 掃瞄功能切換開關。
  • OELINUX:類似 ECHOSCAN,但針對的是內嵌式系統。
  • CFBYPASS:用來避開 DDoS 防範服務。


圖 5:後門指令:PINGING、ECHOSCAN (上)、OELINUX、CFBYPASS (下)。

Bashlite 可藉由以下指令發動多種不同類型的 DDoS 攻擊:

  • HOLD:連線至某個 IP 位址和連接埠並持續一段時間。
  • JUNK:與前述 HOLD 指令相同,但會發送隨機產生的字串至指定的 IP 位址。
  • UDP:使用 UDP 封包對目標發動洪水攻擊。
  • ACK:發送 ACK 訊號來癱瘓網路。
  • VSE:一種流量放大攻擊,用來消耗某個目標系統 (如某伺服器) 的資源。
  • TCP:發送大量 TCP 請求。
  • OVH:發動可避開 DDoS 防範服務的 DDoS 攻擊。
  • STD:類似前述 UDP 指令,利用 UDP 封包對目標發動洪水攻擊。
  • GRENADE:發動上述所有 DDoS 攻擊。

除此之外,Bashlite 還有一些其他值得關注的指令,例如,BRICKER 指令會從某個網址下載並執行一個可永久破壞裝置的惡意程式,這應該是用來清除其他競爭對手的殭屍病毒。MINER 指令會下載並執行一個虛擬加密貨幣挖礦惡意程式。PKILL 指令則是會終止指定的執行程序。


圖 6:各種 DDoS 攻擊相關指令。

IoT 資安不應事後才彌補
智慧家庭複雜 IoT 環境,連網裝置固然能夠帶來便利和效率,但若未正確設定或妥善加以保護,很可能將引來資安上的風險。Bashlite 只是可能危害使用者隱私權、資訊安全及人身安全的眾多威脅之一。我們已見到許多像這樣的威脅,有些威脅專門攻擊暴露在外且含有已知漏洞的 UPnP 裝置。裝置設計製造商必須將資安融入產品開發流程當中。實施個人自備裝置 (BYOD) 政策、允許使用者在工作場所使用 IoT 裝置的企業,必須兼顧行動裝置的便利性與資安的要求。至於一般使用者,則可以養成一些良好習慣來保護自己。

趨勢科技 Smart Protection Suites產品可採用以下預防規則來防範這項威脅以保護使用者:

  • 1135463 – WEB Belkin Wemo UPnP Remote Code Execution

趨勢科技的Deep Discovery Inspector 解決方案能利用以下 DDI 規則來防範相關攻擊:

  • 2860 – Belkin Wemo UPnP Remote Code Execution

入侵指標 (IoC):

相關雜湊碼 (SHA-256):

  • 81cbb253ef6ad4803e3918883eed3ec6306ef12e7933c5723bd720d55d13a46a — Backdoor.Linux.BASHLITE.SMJC4
  • 01570ee09d63579afc77a44295aeb06c1cc826ae6f0aa9423915ea4ecfd9899f — Trojan.SH.BASHDLOD.AMF

Backdoor.Linux.BASHLITE.AMF (SHA-256)

  • 2d896a7e4db137024b947ca5be79fd0497f50f3a0ad2edf07455d3b35a40735b
  • fe887192440d1a7c6199593dfab52362a22e187d80879c89eba72f1659e82d0b
  • 506e4824beb216a33ed7cb1fe98637091f603b93df789f3819c624f5e3e19b80
  • 9ce735506f6cb663d4a4617da99b75262dc937c62c2afda0509adc49745c1554
  • d9faa3e129a72a9908eafc25d4ecc54aca77da2714471db45d191520bc6075f4
  • 323b4260e8fbfb46461ff017882832ed195821e855a473a0b0e15ace5ad8b2ef
  • 8da4b0d63aa6824e454ec3786093d2fb18d1ba89ddc5510221b076058db0bb19
  • bcb19d156b089cabc2b89f31e36b577be700ea489dd8c1ef69cbcb95585ef05c
  • 21c740671cad8dc67b5504e0d5e6cf0a92864ea87c075f1ebdff419e95263077
  • ba47ec0a9f2dedb169590f607f96cc889f4b9e465ce9334502a09997e74c4334
  • 31607153ce9edec754027b3ea2ddc3b6c3f13532c2e78b54a89dbeb09b4efd43
  • d2aeb3beadbdfe9d44521551ce44661595a51ce9bb9e1c317b74e173ab65c6fa

相關惡意網址:

  • hxxp://185[.]244[.]25[.]213/ECHOBOT[.]mips
  • hxxp://185[.]244[.]25[.]213/UqHDZbqr9S[.]sh

原文出處:Bashlite IoT Malware Updated with Mining and Backdoor Commands, Targets WeMo Devices 作者:Mark VicenteByron Galera Augusto Remillano (威脅分析師)