2021 年 11 月，AT&T Alien Labs 首次披露 Golang 編寫的惡意軟件 BotenaGo。最近，該惡意軟件的源代碼被上傳到 GitHub 上，這可能會催生更多的惡意軟件變種，預(yù)計(jì)也會有攻擊者利用這些開源代碼改進(jìn)、混淆自己的惡意軟件。

背景

2016 年 9 月，Mirai 的源碼在某黑客論壇上泄露，緊接著被上傳到 GitHub 中。自此以后，Mirai 代碼被利用的頻率急劇上升，Moobot、Satori、Masuta 等多個(gè)惡意軟件都將 Mirai 的源碼融合進(jìn)了自己的代碼中并增加了差異化的功能。大量的變種感染了數(shù)以百萬計(jì)的設(shè)備，Mirai 主要針對路由器與物聯(lián)網(wǎng)設(shè)備，支持各種各樣的系統(tǒng)架構(gòu)，被廣泛應(yīng)用在多個(gè)僵尸網(wǎng)絡(luò)中。

2021 年 11 月，Alien Labs 首次披露了惡意軟件 BotenaGo并通過 Shodan 顯示了其危害。近期，Alien Labs 發(fā)現(xiàn) BotenaGo 惡意軟件的源代碼在 2021 年 10 月 16 日已經(jīng)被上傳到 GitHub中。這意味著，任何攻擊者都可以基于這份代碼進(jìn)行修改和升級，甚至是直接使用。目前，該份代碼的來源尚不清楚。

源碼分析

BotenaGo 的源碼總共 2891 行(包括空行與注釋)，在盡可能簡單的情況下保持了高效。常見的攻擊所需，代碼中都已經(jīng)包含了，例如：

• 反向 Shell 和 telnet 功能，用于創(chuàng)建后門接收攻擊者的指令;
• 帶有 33 個(gè)已知漏洞的 Exploit，可以針對操作系統(tǒng)或者設(shè)備類型進(jìn)行針對性攻擊。

源碼中包含支持的漏洞利用列表：

漏洞利用列表

BotenaGo 調(diào)用 scannerInitExploits函數(shù)對設(shè)備進(jìn)行攻擊。

漏洞利用初始化

每個(gè)漏洞利用的函數(shù)都可進(jìn)行配置：

特定 Payload

某些漏洞利用需要依賴一系列命令：

CVE-2020-10987

CVE-2020-10173

代碼中包含對 C&C 服務(wù)器的配置，包括地址與路徑等：

配置信息

main函數(shù)中調(diào)用了所有必要的部分，包括設(shè)置后門、加載 Payload、初始化漏洞利用等。攻擊者只需要利用這 2891 行代碼就可以輕輕松松創(chuàng)建惡意軟件了。

main 函數(shù)

更新

從發(fā)現(xiàn)時(shí)起，BotenaGo 一直在針對路由器和物聯(lián)網(wǎng)設(shè)備發(fā)起攻擊。時(shí)至今日，該樣本的檢出率仍然很低。

檢測情況

發(fā)現(xiàn)的部分樣本使用了新的 C&C 服務(wù)器，該 IP 地址也被發(fā)現(xiàn)在利用 Log4j 漏洞進(jìn)行攻擊。

配置信息

結(jié)論

BotenaGo 的源碼泄露使得任何攻擊者都可以使用這些代碼構(gòu)建或者增強(qiáng)自己的惡意軟件，惡意軟件的變種仍然會持續(xù)增加，數(shù)百萬的路由器和物聯(lián)網(wǎng)設(shè)備都面臨巨大的風(fēng)險(xiǎn)。