针对DVR设施的新BotenaGo恶意软件变种
近期,要挟剖析人员发现了BotenaGo僵尸网络恶意软件的一种新变种,它是迄今为止最保密的变种,任何反病毒引擎都不可检测到它的运转。BotenaGo是一种相对较新的恶意软件,它是用Google的开源编程言语Golang编写。虽然该僵尸网络的源代码自2021年10月被暴露以来,曾经地下了大概半年,但从那时起,曾经产生了几个该恶意软件的变种,同时原始恶意软件则继续坚持生动,并参与了针对数百万物联网设施池的破绽应用。
最近Nozomi网络试验室的钻研人员最近发现了一种新的BotenaGo变体,它仿佛源自暴露的源代码。他们剖析的样本针对Lilin安保摄像头DVR设施,这促使钻研人员将其命名为“Lillinscanner”。
LillinBotenaGo变种最显着的特色是它不会被VirusTotal扫描平台上的防病毒引擎检测到。形成这种状况的要素之一是它的作者曾经删除了原始BotenaGo中存在的一切破绽,只专一于经常使用存在两年前的重大远程代码执行破绽的LilinDVR。
值得留意的是,此破绽与Fodcha恶意软件经常使用的相反,Fodcha是另一个用于发起散布式拒绝服务(DDoS)攻打被新发现的僵尸网络。因此,仿佛有少量未修补的LilinDVR设施可供新的僵尸网络恶意软件作者专门针对它。
Lillinscanner和原始BotenaGo恶意软件之间的另一个区别是前者依赖外部大规模扫描工具来构成可应用设施的IP地址列表。接上去,恶意软件经常使用该性能经过明文字符串感化一切有效且可访问的IP地址,而后依赖一个带有11个证书的硬编码列表,而这些证书通常设置在包全较差的端点上。Lilin特定的“root/icatch99”和“report/8Jg0SR8K50”也蕴含在此列表中。假设婚配,要挟介入者可以在指标上远程执行恣意代码。
该破绽应用带有恶意代码的POST恳求,提交到dvr/cmd,旨在修正摄像机的NTP性能。假设完成,新性能将执行wget命令从136.144.41[.]169下载文件(wget.sh ),而后运转它。假设不完成,恶意软件会尝试将命令注入cn/cmd。wget.sh文件下载为多种架构编译的Mirai有效载荷,并在受感化的设施上执行它们。其中一些有效载荷在近期和2022年3月被上行到 VirusTotal,这标明测试期是新颖的。
Nozomi钻研人员报告称,Mirai具备一些IP范畴的扫除,以防止感化美国国防部(DoD)、美国邮政服务(USPS)、通用电气(GE)、惠普(HP)等。Mirai的指标是更宽泛的破绽应用和设施列表,也可以说在这次优惠中,Lilin DVR破绽应用是一场更大的感化浪潮的开始。
Lillinscanner变体仿佛不会对物联网构成渺小要挟,由于它的指标十明显确,即使第二阶段Mirai具备更弱小的后劲。而且,它不能自行流传,由于扫描和感化性能都是手动操作的,所以目前来说它或许还是一种较小的要挟,又或许它或许还处于试验阶段。虽然如此,它依然是一个幽默的新僵尸网络名目,它证实了恶意软件作者经常使用已知的记载代码构建齐全隐蔽的僵尸网络是如许容易。最后,这也是一个技艺较低的网络立功分子如何应用暴露的恶意软件源代码来建设自己的执行的案例。