最近,威胁分析人员发现了BotenaGo僵尸网络恶意软件的一个新变体,这是迄今为止最隐蔽的变体,任何防病毒引擎都无法检测到它的运行。BotenaGo是一种相对较新的恶意软件,使用Google的开源编程语言Golang编写。自2021年10月泄露以来,该僵尸网络的源代码已公开约半年时间,但此后出现了该恶意软件的多个变体,而原始恶意软件继续活跃,增加了对数百万物联网设备的利用。Nozomi网络实验室的研究人员最近发现了一种新的BotenaGo变种,该变种似乎源自泄露的源代码。他们分析的样本针对的是Lilin安全摄像头DVR设备,这促使研究人员将其称为“Lillin扫描仪”。LillinBotenaGo变种最显着的特征是它不会被VirusTotal扫描平台上的防病毒引擎检测到。原因之一是它的作者已经删除了原始BotenaGo中存在的所有漏洞,只专注于使用具有两年历史的关键远程代码执行漏洞的LilinDVR。值得注意的是,此漏洞与Fodcha恶意软件使用的漏洞相同,Fodcha恶意软件是另一个新发现的僵尸网络,用于发起分布式拒绝服务(DDoS)攻击。因此,似乎有大量未打补丁的LilinDVR设备可供新的僵尸网络恶意软件作者专门针对。Lillin扫描器与原始BotenaGo恶意软件之间的另一个区别是,前者依赖于外部大量扫描工具来形成可利用设备的IP地址列表。接下来,恶意软件使用此功能通过明文字符串感染所有有效且可访问的IP地址,然后依赖于包含11个证书的硬编码列表,这些证书通常设置在保护不力的端点上。Lilin特定的“root/icatch99”和“report/8Jg0SR8K50”也包含在此列表中。如果匹配,威胁参与者可以在目标上远程执行任意代码。该漏洞利用带有恶意代码的POST请求,提交给dvr/cmd,旨在修改摄像头的NTP配置。如果成功,新配置会执行wget命令从136.144.41[.]169下载文件(wget.sh),然后运行。如果不成功,恶意软件会尝试将命令注入cn/cmd。wget.sh文件下载为多种架构编译的Mirai有效载荷,并在受感染的设备上执行它们。其中一些有效载荷是在最近和2022年3月上传到VirusTotal的,这表明测试期是新鲜的。Nozomi研究人员报告说,Mirai有一些IP范围排除,以避免感染美国国防部(DoD)、美国邮政服务(USPS)、通用电气(GE)、惠普(HP)等。Mirai的目标是更广泛的漏洞利用和设备列表,也可以说,在这次活动中,LilinDVR漏洞利用是更大规模感染浪潮的开始。Lillin扫描仪变体似乎不会对物联网构成巨大威胁,因为它的目标非常明确,尽管第二阶段的Mirai有可能更强大。此外,它不能自行传播,因为扫描和感染功能是手动的,所以它目前可能是一个小威胁,或者它可能是实验性的。尽管如此,它仍然是一个有趣的新僵尸网络项目,它展示了恶意软件作者使用已知文档代码构建完全隐蔽的僵尸网络是多么容易。最后,这也是一个不熟练的网络犯罪分子如何使用泄露的恶意软件源代码来构建他们的操作的案例。参考来源:https://www.bleepingcomputer.com/news/security/new-stealthy-botenago-malware-variant-targets-dvr-devices/
