Milyonlarca yönlendiriciyi ve Nesnelerin İnterneti (IoT) cihazlarını hedef alan tehlikeli bir kötü amaçlı yazılım örneğinin yazarları, kaynak kodunu GitHub’a yükledi; bu, diğer suçluların artık aracın yeni türevlerini hızla başlatabileceği veya kendi saldırılarında olduğu gibi kullanabileceği anlamına geliyor. kampanyalar.
AT&T Alien Labs’taki araştırmacılar, kötü amaçlı yazılımı ilk olarak geçen Kasım ayında fark ettiler ve ona “BotenaGo” adını verdiler. Kötü amaçlı yazılım, kötü amaçlı yazılım yazarları arasında oldukça popüler hale gelen bir programlama dili olan Go’da yazılmıştır. Linksys, D-Link, Netgear ve ZTE dahil olmak üzere birden fazla satıcının ürünlerinde 30’dan fazla farklı güvenlik açığı için açıklardan yararlanma ile birlikte gelir.
BotenaGo, bir güvenlik açığından başarıyla yararlandığı sistemlerde uzak kabuk komutları yürütmek üzere tasarlanmıştır. Bir analiz Alien Labs’in geçen yıl kötü amaçlı yazılımı ilk tespit ettiğinde yaptığı, BotenaGo’nun kurbanları hedeflemek için komutları almak için iki farklı yöntem kullandığını gösterdi. Bunlardan biri, hedef cihazların IP adreslerini dinlemek ve almak için iki arka kapı bağlantı noktası içeriyordu ve diğeri, sistem G/Ç kullanıcı girişine bir dinleyici ayarlamayı ve bunun aracılığıyla hedef bilgilerini almayı içeriyordu.
Alien Labs’teki araştırmacılar, kötü amaçlı yazılımın uzak bir sunucudan komut almak üzere tasarlandığını, ancak herhangi bir aktif komut ve kontrol iletişimine sahip olmadığını keşfetti. Bu, güvenlik sağlayıcısının o sırada BotenaGo’nun daha geniş bir kötü amaçlı yazılım paketinin parçası olduğunu ve muhtemelen bir bulaşma zincirindeki birden çok araçtan biri olduğunu tahmin etmesine yol açtı. Güvenlik sağlayıcısı ayrıca BotenaGo’nun yük bağlantılarının, kötü şöhretli Mirai botnet kötü amaçlı yazılımının operatörleri tarafından kullanılanlara benzer olduğunu buldu. Bu, Alien Labs’ın BotenaGo’nun Mirai operatörlerinin kendileri tarafından bilinen belirli makineleri hedeflemek için kullandıkları yeni bir araç olduğunu teorileştirmesine yol açtı.
IoT Cihazları ve Yönlendiriciler Hit
Belirsiz nedenlerden dolayı, kötü amaçlı yazılımın bilinmeyen yazarı kısa süre önce BotenaGo’nun kaynak kodunu GitHub aracılığıyla herkese açık hale getirdi. Alien Labs yaptığı açıklamada, diğer kötü amaçlı yazılım yazarlarının kaynak kodunu kendi özel amaçları ve saldırı kampanyaları için kullanıp uyarladığından, bu hareketin potansiyel olarak BotenaGo varyantlarında önemli bir artışa yol açabileceğini söyledi. Blog bu hafta. Şirket, BotenaGo yüzeyinin yeni örneklerini gözlemlediğini ve Mirai botnet kötü amaçlı yazılımını IoT cihazlarına ve yönlendiricilerine yaymak için kullanıldığını söyledi. BotenaGo’nun yük sunucularından biri de, yakın zamanda keşfedilen Log4j güvenlik açıkları için uzlaşma göstergeleri listesinde yer alıyor.
BotenaGo kötü amaçlı yazılımı yalnızca 2.891 satırlık koddan oluşur ve bu da onu birkaç yeni varyant için potansiyel olarak iyi bir başlangıç noktası yapar. Birden çok yönlendiricide ve IoT cihazında 30’dan fazla güvenlik açığı için açıklardan yararlanmayla dolu olması, kötü amaçlı yazılım yazarlarının çekici olduğunu düşündüğü başka bir faktördür. BotenaGo’nun yararlanabileceği birçok güvenlik açığı, belirli D-Link kablosuz yönlendiricilerde CVE-2015-2051, Netgear ürünlerini etkileyen CVE-2016-1555, Linksys cihazlarında CVE-2013-3307 ve belirli ZTE kablolarını etkileyen CVE-2014-2321’dir. modem modelleri.
Alien Labs kötü amaçlı yazılım araştırmacısı Ofer Caspi, daha önce bahsedilen blog yazısında, “Alien Labs, küresel olarak yönlendiricileri ve IoT cihazlarını hedefleyen BotenaGo türevlerine dayalı yeni kampanyalar görmeyi bekliyor” dedi. “Bu makalenin yayınlanmasından itibaren, BotenaGo ve türevleri için antivirüs (AV) satıcı tespiti, çoğu AV satıcısının çok düşük algılama kapsamı ile geride kalıyor.”
Alien Labs’e göre, VirusTotal’daki 60 AV’den sadece üçü şu anda kötü amaçlı yazılımı tespit edebiliyor.
Şirket, bu hareketi Mirai’nin yazarlarının 2016’da kötü amaçlı yazılımın kaynak kodunu bir bilgisayar korsanlığı topluluğu forumuna yüklediklerinde yaptıkları hareketle karşılaştırdı. Kod sürümü, Satori, Moobot ve Masuta gibi milyonlarca IoT cihazı enfeksiyonuna neden olan çok sayıda Mirai varyantının geliştirilmesiyle sonuçlandı. Mirai kod sürümü, benzersiz işlevselliğe, yeni yeteneklere ve yeni açıklara sahip varyantlarla sonuçlandı.
