BotenaGo Botnet

BotenaGo Botnet Beschrijving

Een nieuw botnet genaamd BotenaGo is in het wild geïdentificeerd. De dreiging heeft de capaciteit om miljoenen kwetsbare IoT-apparaten en routers (Internet of Things) te infecteren. Na analyse van een steekproef van de dreiging, ontdekten de onderzoekers van AT&T dat het meer dan 33 kwetsbaarheden in routers, modems en NAS-apparaten kon misbruiken. Enkele van de beoogde machines zijn D-link-routers (via CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), Realtek SDK-gebaseerde routers (CVE-2019-19824), ZTE Modems (CVE-2014 -2321), Netgear-apparaten (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340), en meer.

Zoals de naam doet vermoeden, is het BotenaGo-botnet gemaakt met behulp van de programmeertaal Go. Go wint de afgelopen jaren aan populariteit onder cybercriminelen omdat het platformonafhankelijke functionaliteit biedt en de bedreigingen zowel moeilijker te detecteren als te reverse-engineeren maakt.

Bedreigende functionaliteit

Wanneer de BotenaGo-malware op het doelapparaat wordt ingezet, zal hij luisterroutines instellen op twee specifieke poorten - 31412 en 194121. De dreiging wacht op een IP-adres dat door de aanvallers wordt verstrekt. Na ontvangst van een geschikt IP-adres, zal BotenaGo doorgaan met het doornemen van de kwetsbaarheden die het exploiteert in een poging toegang te krijgen. Daarna voert het verschillende shell-opdrachten uit om het apparaat aan zijn botnet toe te voegen. De dreiging haalt via verschillende links een nuttige lading op die geschikt is voor het doelapparaat.

Nog niet operationeel

De onderzoekers konden geen payloads van de hostingserver verkrijgen en ze hebben geen communicatie tussen BotneaGo en zijn Command-and-Control (C2, C&C)-server gedetecteerd. Er zijn niet genoeg gegevens voor een concrete verklaring, maar infosec-experts hebben drie mogelijke scenario's:

  1. Het gevonden BotenaGo-botnet is slechts één van de verschillende modules die deel uitmaken van een meertraps malware-aanval.
  2. De dreiging zou een nieuwe tool kunnen zijn die wordt gebruikt door Mirai- operators. Dit vermoeden wordt ondersteund door verschillende links die worden gebruikt om payloads te leveren.
  3. Het gebrek aan C2-communicatie kan eenvoudig een teken zijn dat BotenaGo nog niet klaar is voor inzet en dat het monster dat door de onderzoekers is gevangen, per ongeluk in het wild is vrijgelaten.

Gebruikers en bedrijven moeten kennis nemen van de IoC's (Indicators of Compromise) van de dreiging en voldoende tegenmaatregelen nemen.