2021 年 11 月，AT&T Alien Labs 首次披露 Golang 編寫的惡意軟件 BotenaGo。最近，該惡意軟件的源代碼被上傳到 GitHub 上，這可能會催生更多的惡意軟件變種，預計也會有攻擊者利用這些開源代碼改進、混淆自己的惡意軟件。

背景

2016 年 9 月，Mirai 的源碼在某黑客論壇上泄露，緊接著被上傳到 GitHub 中。自此以后，Mirai 代碼被利用的頻率急劇上升，Moobot、Satori、Masuta 等多個惡意軟件都將 Mirai 的源碼融合進了自己的代碼中并增加了差異化的功能。大量的變種感染了數(shù)以百萬計的設備，Mirai 主要針對路由器與物聯(lián)網(wǎng)設備，支持各種各樣的系統(tǒng)架構，被廣泛應用在多個僵尸網(wǎng)絡中。

2021 年 11 月，Alien Labs 首次披露了惡意軟件 BotenaGo并通過 Shodan 顯示了其危害。近期，Alien Labs 發(fā)現(xiàn) BotenaGo 惡意軟件的源代碼在 2021 年 10 月 16 日已經(jīng)被上傳到 GitHub中。這意味著，任何攻擊者都可以基于這份代碼進行修改和升級，甚至是直接使用。目前，該份代碼的來源尚不清楚。

源碼分析

BotenaGo 的源碼總共 2891 行(包括空行與注釋)，在盡可能簡單的情況下保持了高效。常見的攻擊所需，代碼中都已經(jīng)包含了，例如：

• 反向 Shell 和 telnet 功能，用于創(chuàng)建后門接收攻擊者的指令;
• 帶有 33 個已知漏洞的 Exploit，可以針對操作系統(tǒng)或者設備類型進行針對性攻擊。

源碼中包含支持的漏洞利用列表：

漏洞利用列表

BotenaGo 調(diào)用 scannerInitExploits函數(shù)對設備進行攻擊。

漏洞利用初始化

每個漏洞利用的函數(shù)都可進行配置：

特定 Payload

某些漏洞利用需要依賴一系列命令：

CVE-2020-10987

CVE-2020-10173

代碼中包含對 C&C 服務器的配置，包括地址與路徑等：

配置信息

main函數(shù)中調(diào)用了所有必要的部分，包括設置后門、加載 Payload、初始化漏洞利用等。攻擊者只需要利用這 2891 行代碼就可以輕輕松松創(chuàng)建惡意軟件了。

main 函數(shù)

更新

從發(fā)現(xiàn)時起，BotenaGo 一直在針對路由器和物聯(lián)網(wǎng)設備發(fā)起攻擊。時至今日，該樣本的檢出率仍然很低。

檢測情況

發(fā)現(xiàn)的部分樣本使用了新的 C&C 服務器，該 IP 地址也被發(fā)現(xiàn)在利用 Log4j 漏洞進行攻擊。

配置信息

結論

BotenaGo 的源碼泄露使得任何攻擊者都可以使用這些代碼構建或者增強自己的惡意軟件，惡意軟件的變種仍然會持續(xù)增加，數(shù)百萬的路由器和物聯(lián)網(wǎng)設備都面臨巨大的風險。