好看的小说君子以泽,完美世界辰东

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

BotenaGo僵尸網(wǎng)絡(luò)源碼泄露，攻擊者武器庫又增加

2021 年 11 月，AT&T Alien Labs 首次披露 Golang 編寫的惡意軟件 BotenaGo。最近，該惡意軟件的源代碼被上傳到 GitHub 上，這可能會催生更多的惡意軟件變種，預(yù)計也會有攻擊者利用這些開源代碼改進(jìn)、混淆自己的惡意軟件。

10年積累的網(wǎng)站制作、成都網(wǎng)站設(shè)計經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站設(shè)計后付款的網(wǎng)站建設(shè)流程，更有迪慶州免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

背景

2016 年 9 月，Mirai 的源碼在某黑客論壇上泄露，緊接著被上傳到 GitHub 中。自此以后，Mirai 代碼被利用的頻率急劇上升，Moobot、Satori、Masuta 等多個惡意軟件都將 Mirai 的源碼融合進(jìn)了自己的代碼中并增加了差異化的功能。大量的變種感染了數(shù)以百萬計的設(shè)備，Mirai 主要針對路由器與物聯(lián)網(wǎng)設(shè)備，支持各種各樣的系統(tǒng)架構(gòu)，被廣泛應(yīng)用在多個僵尸網(wǎng)絡(luò)中。

2021 年 11 月，Alien Labs 首次披露了惡意軟件 BotenaGo并通過 Shodan 顯示了其危害。近期，Alien Labs 發(fā)現(xiàn) BotenaGo 惡意軟件的源代碼在 2021 年 10 月 16 日已經(jīng)被上傳到 GitHub中。這意味著，任何攻擊者都可以基于這份代碼進(jìn)行修改和升級，甚至是直接使用。目前，該份代碼的來源尚不清楚。

源碼分析

BotenaGo 的源碼總共 2891 行(包括空行與注釋)，在盡可能簡單的情況下保持了高效。常見的攻擊所需，代碼中都已經(jīng)包含了，例如：

反向 Shell 和 telnet 功能，用于創(chuàng)建后門接收攻擊者的指令;
帶有 33 個已知漏洞的 Exploit，可以針對操作系統(tǒng)或者設(shè)備類型進(jìn)行針對性攻擊。

源碼中包含支持的漏洞利用列表：

漏洞利用列表

BotenaGo 調(diào)用 scannerInitExploits函數(shù)對設(shè)備進(jìn)行攻擊。

漏洞利用初始化

每個漏洞利用的函數(shù)都可進(jìn)行配置：

特定 Payload

某些漏洞利用需要依賴一系列命令：

CVE-2020-10987

CVE-2020-10173

代碼中包含對 C&C 服務(wù)器的配置，包括地址與路徑等：

配置信息

main函數(shù)中調(diào)用了所有必要的部分，包括設(shè)置后門、加載 Payload、初始化漏洞利用等。攻擊者只需要利用這 2891 行代碼就可以輕輕松松創(chuàng)建惡意軟件了。

main 函數(shù)

更新

從發(fā)現(xiàn)時起，BotenaGo 一直在針對路由器和物聯(lián)網(wǎng)設(shè)備發(fā)起攻擊。時至今日，該樣本的檢出率仍然很低。

檢測情況

發(fā)現(xiàn)的部分樣本使用了新的 C&C 服務(wù)器，該 IP 地址也被發(fā)現(xiàn)在利用 Log4j 漏洞進(jìn)行攻擊。

配置信息

結(jié)論

BotenaGo 的源碼泄露使得任何攻擊者都可以使用這些代碼構(gòu)建或者增強(qiáng)自己的惡意軟件，惡意軟件的變種仍然會持續(xù)增加，數(shù)百萬的路由器和物聯(lián)網(wǎng)設(shè)備都面臨巨大的風(fēng)險。

文章題目：BotenaGo僵尸網(wǎng)絡(luò)源碼泄露，攻擊者武器庫又增加
本文網(wǎng)址：http://fisionsoft.com.cn/article/dpggiie.html

新聞中心

背景

源碼分析

更新

結(jié)論

其他資訊