0x01 概況

---

早在2014年，Shell Shock（CVE-2014-6721）便作為一個高達10級的漏洞受到極大的關注，而利用Shell Shock瘋狂作案的Bashlite惡意軟體在當時已對不少裝置造成了威脅，這其中包括了路由器、手機、可穿戴裝置等。近日，360 QVM團隊又捕獲了該惡意程式的最新變種，並追蹤到了相關多個平臺的惡意程式，相比老版的bashlite，新版支援的平臺更多，且成功率更高，多種智慧裝置將受到Bashlite惡意軟體影響。

0x02 樣本分析

---

該版本一共有25個檔案，其中包括一個shell指令碼檔案和24個elf檔案，支援不同架構的裝置，如下表：

檔名	檔案型別
lnta	ELF 32-bit LSB executable, ARM, version 1, dynamically linked (uses shared libs), not stripped
lntb	ELF 32-bit LSB executable, ARM, version 1, dynamically linked (uses shared libs), not stripped
lntc	ELF 32-bit LSB executable, ARM, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lntd	ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lnte	ELF 32-bit MSB executable, Motorola 68020, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lntf	ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lntg	ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lnth	ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lnti	ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lntj	ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lntk	ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
lntl	ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), not stripped
nt.sh	POSIX shell script text executable
slnta	ELF 32-bit LSB executable, ARM, version 1, statically linked, not stripped
slntb	ELF 32-bit LSB executable, ARM, version 1, statically linked, not stripped
slntc	ELF 32-bit LSB executable, ARM, version 1 (SYSV), statically linked, not stripped
slntd	ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, not stripped
slnte	ELF 32-bit MSB executable, Motorola 68020, version 1 (SYSV), statically linked, not stripped
slntf	ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, not stripped
slntg	ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, not stripped
slnth	ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, not stripped
slnti	ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, not stripped
slntj	ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, not stripped
slntk	ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), statically linked, not stripped
slntl	ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, not stripped

檔名：nt.sh
檔案大小：21.9kb
MD5: c14761119affea9569dd248a0c78d0b4

該程式可用於更新作者本身寫的程式，也用於將已感染bashlite的主機佔為己有，我們來看看它的主要功能：

先清除了老版本使用的配置檔案，並殺掉了老版本的程式；

下載並並執行最新的惡意程式，這裡使用了curl、lynx、wget等多種方式下載，確保下載成功；

當確認與服務端建立連線後則停止。

其它檔案：

其它檔案完成了主要的惡意功能，不同檔案為不同平臺所打造，但功能都是類似的，以80386平臺為例，我們來看看slntd的主要功能：

先簡單的strace一下該程式：

可以看到該程式先設定了執行緒名，隨後連線了8.8.8.8，然後讀取了路由表，之後的操作都是由幾個執行緒完成，我們詳細的跟一下：

1.使用prctl修改執行緒名為[cpuset]

2.連線8.8.8.8來判斷使用者是否已連線到網路，若連線到網路則透過路由表來獲得ip地址並得到裝置名稱，再由ioctl得到mac地址：

3.連線C&C地址(162.248.79.66)

簡單對該地址掃描，發現其開放了21,22埠，我們嘗試著訪問一下：

可以看到上面有作者用於交叉編譯的工具和指令碼，還有已生成好的bot檔案，從nt2.sh可以看到有新的地址188.209.49.163:443，而且底部有Generated Mon, 26 Oct 2015 10:38:23 GMT by proxy (squid/3.1.23)，由此可見作者可能已經擁有了大量的肉雞，已經必須使用squid來承受併發的壓力，當然也有可能僅僅是為了隱藏自己。

4.接受遠端發來的指令，與老版本相似，支援一下幾種指令：

指令	功能
PING	給服務端傳送"PONG!",應為上線提示功能
GETLOCALIP	給服務端傳送本機IP
SCANNER	執行StartTheLelz函式,隨機生成IP地址，並嘗試使用弱口令連線去感染更多主機
HOLD,JUNK,UDP,TCP	針對遠端發來的IP和不同攻擊指令，對目標主機發動DOS攻擊
KILLATTK	終止所有攻擊
LOLNOGTFO	解除安裝

值得一提的是SCANNER指令，執行該指令時會嘗試連線大量的隨機地址，佔用資源明顯。

若主機存在，則嘗試使用telnet方式感染主機，被感染後的主機仍可以繼續尋找其它可被感染的目標。

0x03 總結

---

Bashlite危害較大，其新版本不光會影響到裝置的效能，佔用大量網路資源，還有可能會造成隱私洩露等危害，360QVM小組提醒各智慧裝置廠商做好防範措施，韌體使用高版本的BASH，且不要使用弱口令作為驗證手段。管理員們要時刻注意主機的異常程式和網路流量情況。