近期，威脅分析人員發(fā)現(xiàn)了BotenaGo僵尸網(wǎng)絡(luò)惡意軟件的一種新變種，它是迄今為止最隱秘的變種，任何反病毒引擎都無(wú)法檢測(cè)到它的運(yùn)行。BotenaGo是一種相對(duì)較新的惡意軟件，它是用Google的開源編程語(yǔ)言Golang編寫。雖然該僵尸網(wǎng)絡(luò)的源代碼自2021年10月被泄露以來(lái)，已經(jīng)公開了大約半年，但從那時(shí)起，已經(jīng)出現(xiàn)了幾個(gè)該惡意軟件的變種，同時(shí)原始惡意軟件則繼續(xù)保持活躍，并添加了針對(duì)數(shù)百萬(wàn)物聯(lián)網(wǎng)設(shè)備池的漏洞利用。

最近Nozomi網(wǎng)絡(luò)實(shí)驗(yàn)室的研究人員最近發(fā)現(xiàn)了一種新的BotenaGo變體，它似乎源自泄露的源代碼。他們分析的樣本針對(duì)Lilin安全攝像頭DVR設(shè)備，這促使研究人員將其命名為“Lillin scanner”。

Lillin BotenaGo變種最顯著的特征是它不會(huì)被VirusTotal掃描平臺(tái)上的防病毒引擎檢測(cè)到。造成這種情況的原因之一是它的作者已經(jīng)刪除了原始BotenaGo中存在的所有漏洞，只專注于使用存在兩年前的嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞的Lilin DVR。

值得注意的是，此漏洞與Fodcha惡意軟件使用的相同，F(xiàn)odcha是另一個(gè)用于發(fā)起分布式拒絕服務(wù)(DDoS)攻擊被新發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)。因此，似乎有大量未修補(bǔ)的Lilin DVR設(shè)備可供新的僵尸網(wǎng)絡(luò)惡意軟件作者專門針對(duì)它。

Lillin scanner和原始BotenaGo惡意軟件之間的另一個(gè)區(qū)別是前者依賴外部大規(guī)模掃描工具來(lái)形成可利用設(shè)備的IP地址列表。接下來(lái)，惡意軟件使用該功能通過(guò)明文字符串感染所有有效且可訪問(wèn)的IP地址，然后依賴一個(gè)帶有11個(gè)證書的硬編碼列表，而這些證書通常設(shè)置在保護(hù)較差的端點(diǎn)上。Lilin特定的“root/icatch99”和“report/8Jg0SR8K50”也包含在此列表中。如果匹配，威脅參與者可以在目標(biāo)上遠(yuǎn)程執(zhí)行任意代碼。

該漏洞利用帶有惡意代碼的POST請(qǐng)求，提交到dvr/cmd，旨在修改攝像機(jī)的NTP配置。如果成功，新配置將執(zhí)行wget命令從136.144.41[.]169下載文件( wget.sh )，然后運(yùn)行它。如果不成功，惡意軟件會(huì)嘗試將命令注入cn/cmd。wget.sh文件下載為多種架構(gòu)編譯的Mirai 有效載荷，并在受感染的設(shè)備上執(zhí)行它們。其中一些有效載荷在近期和2022年3月被上傳到 VirusTotal，這表明測(cè)試期是新鮮的。

Nozomi研究人員報(bào)告稱，Mirai具有一些IP范圍的排除，以避免感染美國(guó)國(guó)防部(DoD)、美國(guó)郵政服務(wù)(USPS)、通用電氣(GE)、惠普(HP) 等。Mirai的目標(biāo)是更廣泛的漏洞利用和設(shè)備列表，也可以說(shuō)在這次活動(dòng)中，Lilin DVR漏洞利用是一場(chǎng)更大的感染浪潮的開端。

Lillin scanner變體似乎不會(huì)對(duì)物聯(lián)網(wǎng)構(gòu)成巨大威脅，因?yàn)樗哪繕?biāo)非常明確，即使第二階段Mirai具有更強(qiáng)大的潛力。而且，它不能自行傳播，因?yàn)閽呙韬透腥竟δ芏际鞘謩?dòng)操作的，所以目前來(lái)說(shuō)它可能還是一種較小的威脅，又或者它可能還處于實(shí)驗(yàn)階段。盡管如此，它仍然是一個(gè)有趣的新僵尸網(wǎng)絡(luò)項(xiàng)目，它證明了惡意軟件作者使用已知的記錄代碼構(gòu)建完全隱蔽的僵尸網(wǎng)絡(luò)是多么容易。最后，這也是一個(gè)技能較低的網(wǎng)絡(luò)犯罪分子如何利用泄露的惡意軟件源代碼來(lái)建立自己的行動(dòng)的案例。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/new-stealthy-botenago-malware-variant-targets-dvr-devices/