Gafgyt(又称BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC协议的物联网僵尸网络程序,主要用于发起DDoS攻击。它可以利用内置的用户名、密码字典进行telnet爆破和对IOT设备RCE(远程命令执行)漏洞利用进行自我传播。于2015年泄露源码并被上传至github,此后衍生出多个变种,次年对互联网上的IOT设备的总感染数达到100W。Gafgyt家族曾发起过峰值400Gbps的DDoS攻击。截至2019年底,Gafgyt家族仍是除Mirai家族外的最大活跃物联网僵尸网络家族。
Gafgyt家族bot程序主要功能分为3个模块:
1、Downloader模块。通过样本硬编码的url下载shell脚本和其他附属样本,随后执行下载的脚本及样本,实现bot程序传播;
2、Scanner 模块。bot 程序在运行后,首先会向控制端发送首包,而这个首包和通常的botnet 病毒家族的首包存在比较大的区别,常见的botnet病毒家族首包是包含系统配置等信息,而Gafgyt首包数据是“BUILD RAZER.”,控制端则通常回复“!* SCANNER ON”,命令被控端对随