Die Autoren eines gefährlichen Malware-Samples, das auf Millionen von Routern und IoT-Geräten (Internet of Things) abzielt, haben den Quellcode auf GitHub hochgeladen, was bedeutet, dass andere Kriminelle jetzt schnell neue Varianten des Tools entwickeln oder es unverändert für ihren eigenen Angriff verwenden können Kampagnen.
Forscher der AT&T Alien Labs entdeckten die Malware erstmals im vergangenen November und nannten sie „BotenaGo“. Die Malware ist in Go geschrieben – einer Programmiersprache, die bei Malware-Autoren sehr beliebt geworden ist. Es ist vollgepackt mit Exploits für mehr als 30 verschiedene Schwachstellen in Produkten mehrerer Anbieter, darunter Linksys, D-Link, Netgear und ZTE.
BotenaGo wurde entwickelt, um Remote-Shell-Befehle auf Systemen auszuführen, auf denen es erfolgreich eine Schwachstelle ausgenutzt hat. Ein Analyse die Alien Labs letztes Jahr bei der ersten Entdeckung der Malware durchführte, zeigte, dass BotenaGo zwei verschiedene Methoden zum Empfangen von Befehlen zum Anvisieren von Opfern verwendet. Einer von ihnen umfasste zwei Backdoor-Ports zum Abhören und Empfangen der IP-Adressen von Zielgeräten, und der andere beinhaltete das Einstellen eines Listeners auf System-I/O-Benutzereingaben und das Empfangen von Zielinformationen darüber.
Forscher von Alien Labs entdeckten, dass die Malware zwar darauf ausgelegt ist, Befehle von einem Remote-Server zu empfangen, aber keine aktive Command-and-Control-Kommunikation hat. Dies veranlasste den Sicherheitsanbieter damals zu der Annahme, dass BotenaGo Teil einer breiteren Malware-Suite und wahrscheinlich eines von mehreren Tools in einer Infektionskette war. Der Sicherheitsanbieter stellte außerdem fest, dass die Payload-Links von BotenaGo denen ähnelten, die von den Betreibern der berüchtigten Mirai-Botnet-Malware verwendet wurden. Dies veranlasste Alien Labs zu der Theorie, dass BotenaGo ein neues Tool sei, das die Betreiber von Mirai verwenden, um bestimmte ihnen bekannte Maschinen anzugreifen.
IoT-Geräte und Router getroffen
Aus unklaren Gründen hat der unbekannte Autor der Malware kürzlich den Quellcode von BotenaGo über GitHub öffentlich zugänglich gemacht. Der Schritt könnte möglicherweise zu einer erheblichen Zunahme von BotenaGo-Varianten führen, da andere Malware-Autoren den Quellcode für ihre spezifischen Zwecke und Angriffskampagnen verwenden und anpassen, sagte Alien Labs in a Blog in dieser Woche. Das Unternehmen sagte, es habe neue Proben der BotenaGo-Oberfläche beobachtet und verwendet, um Mirai-Botnet-Malware auf IoT-Geräten und Routern zu verbreiten. Einer der Payload-Server von BotenaGo befindet sich auch in der Liste der Kompromittierungsindikatoren für die kürzlich entdeckten Log4j-Schwachstellen.
Die BotenaGo-Malware besteht aus nur 2,891 Codezeilen, was sie zu einem potenziell guten Ausgangspunkt für mehrere neue Varianten macht. Die Tatsache, dass sie mit Exploits für mehr als 30 Schwachstellen in mehreren Routern und IoT-Geräten vollgepackt ist, ist ein weiterer Faktor, den Malware-Autoren wahrscheinlich als attraktiv erachten werden. Zu den vielen Schwachstellen, die BotenaGo ausnutzen kann, gehören CVE-2015-2051 in bestimmten drahtlosen D-Link-Routern, CVE-2016-1555, das Netgear-Produkte betrifft, CVE-2013-3307 auf Linksys-Geräten und CVE-2014-2321, das bestimmte ZTE-Kabel betrifft Modem-Modelle.
„Alien Labs erwartet neue Kampagnen auf Basis von BotenaGo-Varianten, die weltweit auf Router und IoT-Geräte abzielen“, sagte Malware-Forscher Ofer Caspi von Alien Labs in dem zuvor erwähnten Blogbeitrag. „Zum Zeitpunkt der Veröffentlichung dieses Artikels bleibt die Erkennung von Antiviren (AV)-Anbietern für BotenaGo und seine Varianten mit einer sehr geringen Erkennungsabdeckung von den meisten AV-Anbietern zurück.“
Laut Alien Labs sind derzeit nur drei von 60 AVs auf VirusTotal in der Lage, die Malware zu erkennen.
Das Unternehmen verglich den Schritt mit dem, den die Autoren von Mirai im Jahr 2016 unternommen hatten, als sie den Quellcode für die Malware in ein Hacker-Community-Forum hochluden. Die Codefreigabe führte zur Entwicklung zahlreicher Mirai-Varianten, wie z Satori, Moobot und Masuta, die für Millionen von IoT-Geräteinfektionen verantwortlich sind. Die Veröffentlichung des Mirai-Codes führte zu Varianten mit einzigartiger Funktionalität, neuen Fähigkeiten und neuen Exploits.
- Coinsmart. Europas beste Bitcoin- und Krypto-Börse.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. DEN FREIEN ZUGANG.
- CryptoHawk. Altcoin-Radar. Kostenlose Testphase.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/source-code-for-malware-targeting-millions-of-routers-iot-devices-uploaded-to-github
