2021年11月,AT&TAlienLabs首次披露了使用Golang编写的恶意软件BotenaGo。近日,该恶意软件的源代码被上传到GitHub,可能会导致更多的恶意软件变种,攻击者有望利用开源代码对自己的恶意软件进行改进和混淆。背景2016年9月,Mirai的源代码在黑客论坛上泄露,然后上传到GitHub。此后,Mirai代码的使用频率急剧上升,Moobot、Satori、Masuta等多款恶意软件纷纷将Mirai的源代码集成到自己的代码中,并加入差异化功能。大量变种已经感染了数百万台设备。Mirai主要针对路由器和物联网设备,支持多种系统架构,广泛应用于多种僵尸网络。2021年11月,AlienLabs首次披露了恶意软件BotenaGo,并通过Shodan展示了其危险性。近日,AlienLabs发现BotenaGo恶意软件的源代码已于2021年10月16日上传至GitHub,这意味着任何攻击者都可以基于该代码进行修改升级,甚至直接使用。代码的来源目前未知。源码分析BotenaGo的源码一共2891行(包括空行和注释),尽量做到简洁高效。代码中已经包含了常见的攻击需求,例如:反向shell和telnet功能,用于创建后门以接收攻击者的指令;利用33个已知漏洞可以针对操作系统或设备类型进行针对性攻击。源代码包含支持的漏洞利用列表:BotenaGo调用scannerInitExploits函数来攻击设备。漏洞exploit初始化可以配置每个exploit的功能:特定的Payload有些exploit需要依赖一系列命令:CVE-2020-10987CVE-2020-10173代码包含C&C服务器的配置,包括地址和路径等.:所有必要的部分都在配置信息main函数中调用,包括设置后门、加载Payload、初始化exploit。攻击者仅使用这2891行代码就可以轻松创建恶意软件。主要功能更新自发现以来,BotenaGo一直瞄准路由器和物联网设备。今天,这个样本的检出率仍然很低。检测发现的部分样本使用了新的C&C服务器,也发现该IP地址利用Log4j漏洞进行攻击。配置信息结论泄露的BotenaGo源代码允许任何攻击者使用这些代码来构建或增强他们自己的恶意软件。恶意软件变种将继续增加,数以百万计的路由器和物联网设备面临巨大风险。
