BotenaGo: Malware richt zich op miljoenen routers en IoT-apparaten


Het cybersecurity-laboratorium AlienLabs van de Amerikaanse provider AT&T heeft een stukje malware opgespoord dat meer dan 30 exploits gebruikt om Internet of Things-apparaten en routers te compromitteren. Volgens het analyserapport van het laboratorium gaat het waarschijnlijk om een ​​onbedoeld ontsnapte vroege bètaversie van de malware, die ook aanwijzingen bevat voor een relatie met de Mirai-botnet hebben.

in de gedetailleerd verslag de IT-beveiligingsonderzoekers beschrijven de bijzondere kenmerken van de malware. Dit is hoe de malware-programmeurs de Programmeertaal Go van Google, daarom kozen de analisten er de naam BotenaGo voor. Ze vermelden ook dat volgens een Blogpost von Intezer is het gebruik van de Go-taal onder malware-vondsten in het wild de afgelopen jaren met 2.000 procent toegenomen.

De malware zet een achterdeur op poort 19412 en 31412 en wacht daar op commando’s van de botnetoperator, maar kan ook door andere modules worden bestuurd. Ondertussen blijft het onbekend wie er achter de malware zit en hoeveel apparaten er daadwerkelijk al zijn aangevallen en geïnfecteerd.

de Erkenningspercentage is nog steeds slecht op het moment van publicatie van het artikel – 28 van de 61 scanners op VirusTotal detecteren de malware. Omdat de links naar de payload vergelijkbaar waren met die van de Mirai-malware, herkennen sommige scanners de malware als een variant ervan. Volgens de beveiligingsonderzoekers van AT&T wijken de programmeertaal, distributed denial of service (DDoS) en aanvalsfuncties hier echter van af, waardoor ze uitgaan van een nieuwe malwarefamilie.

Het rapport werpt vervolgens licht op de meer precieze mechanismen van infectie. De malware zoekt naar een specifieke map om zich aan scripts te hechten en beëindigt zichzelf als de map niet bestaat. De malware zoekt vervolgens, als het doorgaat, naar kwetsbare functies met behulp van bepaalde tekenreeksen – een soort handtekeningscan. Deze karakterstrings kunnen versierapporten van servers zijn, op basis waarvan BotenaGo een kwetsbare functie kan herkennen en er een passende exploit tegen kan inzetten.

Aan de hand van het voorbeeld van de handtekening “Server: Boa / 0.93.15” voor een kwetsbare service op IoT-apparaten en routers, bevroegen de beveiligingsonderzoekers de Shodan-database en ontvingen bijna twee miljoen resultaten, dus potentieel kwetsbare apparaten. De Shodan-database vermeldde nog steeds 250.000 resultaten voor de handtekening “Basic realm = ” Broadband Router “”. Volgens het rapport kan BotenaGo in totaal 33 kwetsbare diensten en functies aanvallen. De malware opent twee poorten voor een achterdeur, 31412 en 19412. Voor die laatste poort laten de onderzoekers zien hoe een DDoS-aanval op een IP-adres en poortnummer kan worden gestart.

Actieve communicatie met een command & control server (C&C) lijkt niet plaats te vinden. Het rapport speculeert over de mogelijke functionaliteit voor de botnet-operator: BotenaGo is slechts een onderdeel van een malwaresuite en de C&C-communicatie wordt afgehandeld door een andere module. Of het is eigenlijk een kwestie van een Mirai-opvolger, waarbij de operators zich richten op bekende IP’s die besmet zijn met Mirai. De derde mogelijkheid zou zijn dat het een onbedoeld lek was van bèta-malware.

De IT-beveiligingsexperts vermelden de CVE-nummers en de apparaten die getroffen zijn door de beveiligingsproblemen in hun: verslag doen van aan – om ze hier te reproduceren zou de boodschap verpesten. De aanbeveling voor actie in het rapport is om beschikbare updates te installeren, Internet-of-Things-apparaten en Linux-servers op het openbare internet te gebruiken met zo min mogelijk aanvalsoppervlak, netwerkverkeer te monitoren, uitgaande poortscans en ongebruikelijk bandbreedtegebruik te voorkomen.

Aangezien er geen updates meer zijn voor verschillende oudere routers en IoT-apparaten, kunnen we vanuit beveiligingsperspectief alleen maar aanraden om over te stappen naar huidige apparaten die nog steeds fabrikantondersteuning en dus beveiligingsupdates ontvangen.


(dmk)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: