查看原文
其他

BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备

Bill Toulas 代码卫士 2022-12-11

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

研究人员发现 BotenaGo 恶意软件僵尸网络使用30多个exploit,攻击数百万台路由器和物联网设备。


BotenaGo 用Golang (Go) 语言编写。Go 语言在近年来人气颇高,也因其使payload 难以检测而备受恶意软件作者和逆向工程师的推崇。以 BotenaGo 为例,在VirusTotal 平台上的62款杀毒引擎中,仅有6款将其标记为恶意,有些引擎将其识别为 Mirai。




攻击数百万台设备


BotnaGo 僵尸网络集成了33个exploit,攻击多款路由器、调制解调器以及NAS设备,比如:

  • CVE-2015-2051、CVE-2020-9377、CVE-2016-11021:D-Link 路由器

  • CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-6334:网件设备

  • CVE-2019-19824:基于Realtek SDK 的路由器

  • CVE-2017-18368、CVE-2020-9054:Zyxel 路由器和 NAS 设备

AT&T 公司的研究人员分析了BotenaGo 后发现它利用上述及其它缺陷的函数攻击数百万台设备。例如在Shodan引擎上搜索嵌入式应用程序所使用的已停止服务的开源 web 服务器 Boa,仍然返回近200万条联网设备信息。


另外一个值得关注的案例是 CVE-2020-10173,它是位于 Comtrend VR-3033 网关设备中的命令注入缺陷,至今仍有其中25万台网关设备可被利用。

被安装后,BotenaGo 将监听两个端口(31412和19412),等待接收一个IP地址,之后将利用该IP地址上的每个漏洞以获取访问权限,接着将会执行远程shell 命令,将设备纳入僵尸网络中。



根据所攻击设备的不同,BotenaGo 使用不同链接来提取相匹配的payload。然而在分析时托管服务器上并不存在payload,因此无法开展分析。

另外,研究人员并未发现BotenaGo 和受攻击者控制的服务器之间的活跃C2通信,因此他们给出了该僵尸网络如何运营的可能方式:

(1)BotenaGo 仅仅是多阶段模块恶意软件攻击的一部分(模块),并不负责处理通信。

(2)BotenaGo 是 Mirai 操纵人员在某些机器上使用的新工具,这种场景受常见payload 释放链接支持。

(3)BotenaGo 尚未做好运营的准备,尚处于早期开发阶段的样本偶然被泄露。

总言之,从其不完整的运营状况来看,在野出现 BotenaGo 不同寻常,但其底层能力将其作者的意图暴露无遗。好在,该僵尸网络在早期就被发现且妥协指标 (IoC) 已可用。只要存在大量可被利用的有价值的网络设备,那么威胁行动者继续开发 BotenaGo 的动力就仍然还在。






推荐阅读
NUCLEUS:13:西门子实时操作系统 Nucleus漏洞影响物联网设备等
【DEF CON】数十亿物联网设备受严重随机数生成器缺陷影响
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
NAME:WRECK 漏洞影响近亿台物联网设备



原文链接

https://www.bleepingcomputer.com/news/security/botenago-botnet-targets-millions-of-iot-devices-with-33-exploits/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存