BotenaGo 僵尸网络
在野外发现了一个名为 BotenaGo 的新僵尸网络。这种威胁有能力感染数百万个易受攻击的 IoT(物联网)设备和路由器。事实上,在分析了威胁样本后,AT&T 的研究人员发现它可以利用在路由器、调制解调器和 NAS 设备中发现的超过 33 个漏洞。一些目标机器包括 D-link 路由器(通过 CVE-2015-2051、CVE-2020-9377、CVE-2016-11021)、基于 Realtek SDK 的路由器(CVE-2019-19824)、中兴调制解调器(CVE-2014 -2321)、Netgear 设备(CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-63340)等等。
顾名思义,BotenaGo 僵尸网络是使用 Go 编程语言创建的。过去几年,Go 在网络犯罪分子中越来越受欢迎,因为它提供跨平台功能,同时使威胁更难以检测和逆向工程。
威胁功能
当部署在目标设备上时,BotenaGo 恶意软件将在两个特定端口 - 31412 和 194121 上建立侦听例程。威胁正在等待攻击者为其提供 IP 地址。在收到合适的 IP 后,BotenaGo 将继续运行其利用的漏洞以尝试获得访问权限。之后,它将运行多个 shell 命令将设备添加到其僵尸网络。威胁通过几个不同的链接获取适合目标设备的有效载荷。
尚未运行
研究人员无法从托管服务器获取任何有效载荷,也没有检测到 BotneaGo 与其命令和控制(C2、C&C)服务器之间的任何通信。没有足够的数据来具体解释,但信息安全专家确实有三种可能的情况:
- 发现的 BotenaGo 僵尸网络只是作为多阶段恶意软件攻击一部分的多个模块之一。
- 该威胁可能是 Mirai运营商使用的一种新工具。这个猜想得到了几个用于传递有效载荷的链接的支持。
- 缺乏 C2 通信可能只是一个迹象,表明 BotenaGo 尚未准备好部署,研究人员捕获的样本被意外释放到野外。
用户和公司应注意威胁的 IoC(妥协指标)并实施足够的对策。
