보테나고 봇넷

보테나고 봇넷 설명

BotenaGo라는 새로운 봇넷이 야생에서 확인되었습니다. 위협은 수백만 개의 취약한 IoT(사물 인터넷) 장치와 라우터를 감염시킬 수 있는 능력을 가지고 있습니다. 실제로 AT&T의 연구원들은 위협 샘플을 분석한 후 라우터, 모뎀 및 NAS 장치에서 발견된 33개 이상의 취약점을 악용할 수 있음을 발견했습니다. 일부 대상 컴퓨터에는 D-링크 라우터(CVE-2015-2051, CVE-2020-9377, CVE-2016-11021 사용), Realtek SDK 기반 라우터(CVE-2019-19824), ZTE 모뎀(CVE-2014)이 포함됩니다. -2321), Netgear 장치(CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) 등.

이름에서 알 수 있듯이 BotenaGo 봇넷은 Go 프로그래밍 언어를 사용하여 생성됩니다. Go는 교차 플랫폼 기능을 제공하는 동시에 위협을 탐지하고 리버스 엔지니어링하기 어렵게 만들기 때문에 지난 몇 년 동안 사이버 범죄자들 사이에서 인기를 얻었습니다.

위협적인 기능

대상 장치에 배포되면 BotenaGo 멀웨어는 2개의 특정 포트(31412 및 194121)에서 수신 대기 루틴을 설정합니다. 이 위협 요소는 공격자가 IP 주소를 제공하기를 기다리고 있습니다. 적절한 IP를 받으면 BotenaGo는 액세스 권한을 얻기 위해 취약점을 악용합니다. 그런 다음 여러 셸 명령을 실행하여 봇넷에 장치를 추가합니다. 위협 요소는 여러 링크를 통해 대상 장치에 적합한 페이로드를 가져옵니다.

아직 작동하지 않음

연구원들은 호스팅 서버에서 페이로드를 얻을 수 없었고 BotneaGo와 Command-and-Control(C2, C&C) 서버 간의 통신을 감지하지 못했습니다. 구체적인 설명을 위한 데이터는 충분하지 않지만 infosec 전문가는 세 가지 잠재적 시나리오가 있습니다.

  1. 발견된 BotenaGo 봇넷은 다단계 맬웨어 공격의 일부인 여러 모듈 중 하나일 뿐입니다.
  2. 위협은 Mirai 운영자가 사용하는 새로운 도구일 수 있습니다. 이 추측은 페이로드를 전달하는 데 사용되는 여러 링크에 의해 뒷받침됩니다.
  3. C2 통신의 부족은 단순히 BotenaGo가 아직 배포할 준비가 되지 않았으며 연구원이 포착한 샘플이 실수로 야생에서 공개되었다는 신호일 수 있습니다.

사용자와 기업은 위협의 IoC(Indicators of Compromise)를 확인하고 충분한 대응책을 구현해야 합니다.