BotenaGo 殭屍網絡

BotenaGo 殭屍網絡說明

在野外發現了一個名為 BotenaGo 的新殭屍網絡。這種威脅有能力感染數百萬個易受攻擊的 IoT(物聯網)設備和路由器。事實上,在分析了威脅樣本後,AT&T 的研究人員發現它可以利用在路由器、調製解調器和 NAS 設備中發現的超過 33 個漏洞。一些目標機器包括 D-link 路由器(通過 CVE-2015-2051、CVE-2020-9377、CVE-2016-11021)、基於 Realtek SDK 的路由器(CVE-2019-19824)、中興調製解調器(CVE-2014 -2321)、Netgear 設備(CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-63340)等等。

顧名思義,BotenaGo 殭屍網絡是使用 Go 編程語言創建的。過去幾年,Go 在網絡犯罪分子中越來越受歡迎,因為它提供跨平台功能,同時使威脅更難以檢測和逆向工程。

威脅功能

當部署在目標設備上時,BotenaGo 惡意軟件將在兩個特定端口 - 31412 和 194121 上建立偵聽例程。威脅正在等待攻擊者為其提供 IP 地址。在收到合適的 IP 後,BotenaGo 將繼續運行其利用的漏洞以嘗試獲得訪問權限。之後,它將運行多個 shell 命令將設備添加到其殭屍網絡。威脅通過幾個不同的鏈接獲取適合目標設備的有效載荷。

尚未運行

研究人員無法從託管服務器獲取任何有效載荷,也沒有檢測到 BotneaGo 與其命令和控制(C2、C&C)服務器之間的任何通信。沒有足夠的數據來具體解釋,但信息安全專家確實有三種可能的情況:

  1. 發現的 BotenaGo 殭屍網絡只是作為多階段惡意軟件攻擊一部分的多個模塊之一。
  2. 該威脅可能是 Mirai運營商使用的一種新工具。這個猜想得到了幾個用於傳遞有效載荷的鏈接的支持。
  3. 缺乏 C2 通信可能只是一個跡象,表明 BotenaGo 尚未準備好部署,研究人員捕獲的樣本被意外釋放到野外。

用戶和公司應注意威脅的 IoC(妥協指標)並實施足夠的對策。