BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

BotenaGo 用Golang (Go) 语言编写。Go 语言在近年来人气颇高，也因其使payload 难以检测而备受恶意软件作者和逆向工程师的推崇。以 BotenaGo 为例，在VirusTotal 平台上的62款杀毒引擎中，仅有6款将其标记为恶意，有些引擎将其识别为 Mirai。

BotnaGo 僵尸网络集成了33个exploit，攻击多款路由器、调制解调器以及NAS设备，比如：

AT&T 公司的研究人员分析了BotenaGo 后发现它利用上述及其它缺陷的函数攻击数百万台设备。例如在Shodan引擎上搜索嵌入式应用程序所使用的已停止服务的开源 web 服务器 Boa，仍然返回近200万条联网设备信息。

另外一个值得关注的案例是 CVE-2020-10173，它是位于 Comtrend VR-3033 网关设备中的命令注入缺陷，至今仍有其中25万台网关设备可被利用。

被安装后，BotenaGo 将监听两个端口（31412和19412），等待接收一个IP地址，之后将利用该IP地址上的每个漏洞以获取访问权限，接着将会执行远程shell 命令，将设备纳入僵尸网络中。

根据所攻击设备的不同，BotenaGo 使用不同链接来提取相匹配的payload。然而在分析时托管服务器上并不存在payload，因此无法开展分析。

另外，研究人员并未发现BotenaGo 和受攻击者控制的服务器之间的活跃C2通信，因此他们给出了该僵尸网络如何运营的可能方式：

（1）BotenaGo 仅仅是多阶段模块恶意软件攻击的一部分（模块），并不负责处理通信。

（2）BotenaGo 是 Mirai 操纵人员在某些机器上使用的新工具，这种场景受常见payload 释放链接支持。

（3）BotenaGo 尚未做好运营的准备，尚处于早期开发阶段的样本偶然被泄露。

总言之，从其不完整的运营状况来看，在野出现 BotenaGo 不同寻常，但其底层能力将其作者的意图暴露无遗。好在，该僵尸网络在早期就被发现且妥协指标 (IoC) 已可用。只要存在大量可被利用的有价值的网络设备，那么威胁行动者继续开发 BotenaGo 的动力就仍然还在。