Millionen von Routern und IoT-Geräten durch neue Open-Source-Malware gefährdet

  • BotenaGo, geschrieben in Googles Programmiersprache Golang, kann mehr als 30 verschiedene Schwachstellen ausnutzen.

    Eine neu aufgetauchte Malware, die schwer zu erkennen ist und in der Open-Source-Programmiersprache von Google geschrieben wurde, hat das Potenzial, Millionen von Routern und IoT-Geräten auszunutzen, wie Forscher herausgefunden haben.

    Entdeckt von Forschern bei AT&T AlienLabs, kann BotenaGo mehr als 30 verschiedene Schwachstellen ausnutzen, um ein Ziel anzugreifen, schrieb Ofer Caspi, ein Sicherheitsforscher bei Alien Labs, in einem am Donnerstag veröffentlichten Blogpost.

    Die Malware, die in Golang geschrieben ist – einer Sprache, die Google erstmals 2007 veröffentlichte – funktioniert, indem sie eine Hintertür zum Gerät erstellt. Sie wartet dann darauf, entweder ein Angriffsziel von einem Remote-Operator über Port 19412 oder von einem anderen verwandten Modul zu erhalten, das auf demselben Computer läuft, schrieb er.

    Golang, auch bekannt als Go, zielt darauf ab, die Erstellung von Software zu vereinfachen, indem es Entwicklern leicht gemacht wird, denselben Code für verschiedene Systeme zu kompilieren. Diese Funktion könnte der Grund sein, warum es in den letzten Jahren bei Malware-Entwicklern Anklang gefunden hat, da es für Angreifer einfacher ist, Malware auf mehreren Betriebssystemen zu verbreiten, schrieb Caspi.

    Tatsächlich deuten Untersuchungen von Intezer, einer Plattform zur Analyse von Malware, darauf hin, dass ein 2.000-prozentiger Anstieg von in Go geschriebenem Malware-Code in freier Wildbahn zu verzeichnen ist, schrieb er.

    Die Forscher sagten, sie wüssten derzeit weder, welcher Bedrohungsakteur oder welche Bedrohungsakteure BotenaGo entwickelt haben, noch wie viele Geräte für die Malware anfällig sind. Bisher scheinen Antivirenschutzprogramme die Malware auch nicht zu erkennen und identifizieren sie manchmal fälschlicherweise als eine Variante der Mirai-Malware, schrieb Caspi.

    Vorbereitung des Angriffs

    BotenaGo beginnt seine Arbeit mit einigen Sondierungsmaßnahmen, um festzustellen, ob ein Gerät für einen Angriff anfällig ist, schrieb Caspi. Er beginnt mit der Initialisierung globaler Infektionszähler, die auf dem Bildschirm ausgegeben werden und den Angreifer über die Gesamtzahl der erfolgreichen Infektionen informieren. Anschließend sucht die Malware nach dem Ordner “dlrs”, in den sie Shell-Skriptdateien laden kann. Wenn dieser Ordner fehlt, stoppt BotenaGo den Infektionsprozess.

    In seinem letzten Schritt vor der vollständigen Infektion ruft BotenaGo die Funktion ‘scannerInitExploits’ auf, “die die Angriffsfläche der Malware initiiert, indem sie alle offensiven Funktionen mit der entsprechenden Zeichenfolge abbildet, die das Zielsystem repräsentiert”, schrieb Caspi.

    Sobald BotenaGo feststellt, dass ein Gerät für einen Angriff anfällig ist, fährt es mit der Bereitstellung des Exploits fort, indem es das Ziel zunächst mit einer einfachen “GET”-Anfrage abfragt. Anschließend durchsucht es die von der “GET”-Anfrage zurückgegebenen Daten mit jeder Systemsignatur, die den Angriffsfunktionen zugeordnet wurde.

    Die Forscher beschreiben mehrere mögliche Angriffe, die mit dieser Abfrage durchgeführt werden können. In einem Fall ordnet die Malware die Zeichenfolge “Server: Boa/0.93.15” auf die Funktion “main_infectFunctionGponFiber”, die versucht, ein verwundbares Ziel auszunutzen, schrieb Caspi.

    Dies ermöglicht dem Angreifer die Ausführung eines Betriebssystembefehls über eine bestimmte Web-Anfrage unter Ausnutzung einer Sicherheitslücke, die als CVE-2020-8958 verfolgt wird. Eine SHODAN-Suche ergab fast 2 Millionen Geräte, die allein für diese Art von Angriff anfällig sind, schrieb er.

    “Insgesamt initiiert die Malware 33 Exploit-Funktionen, die bereit sind, potenzielle Opfer zu infizieren”, schrieb Caspi. Eine vollständige Liste der Schwachstellen, die BotenaGo ausnutzen kann, ist in dem Beitrag enthalten.

    Backdooring von Geräten zum Ausführen von Befehlen

    Die Forscher fanden heraus, dass es zwei verschiedene Möglichkeiten gibt, wie die Malware Befehle erhalten kann, um Opfer anzugreifen. Eine davon ist die Erstellung von Backdoor-Ports – 31421 und 19412 -, die in einem Angriffsszenario verwendet werden, schrieb Caspi.

    “Auf Port 19412 lauscht es, um die IP des Opfers zu empfangen”, schrieb er. “Sobald eine Verbindung mit Informationen zu diesem Port empfangen wird, durchläuft er die abgebildeten Exploit-Funktionen und führt sie mit der angegebenen IP aus.”

    Die zweite Möglichkeit, wie BotenaGo einen Zielbefehl erhalten kann, besteht darin, einen Listener auf die Benutzereingaben im System IO (Terminal) zu setzen und den Befehl auf diese Weise an das Gerät zu senden, erklärte Caspi.

    “Wenn die Malware zum Beispiel lokal auf einer virtuellen Maschine läuft, kann ein Befehl über Telnet gesendet werden”, schrieb er.

    Gefahren für das Unternehmensnetzwerk

    Da BotenaGo in der Lage ist, über Internet-Ports angeschlossene Geräte auszunutzen, kann er potenziell eine Gefahr für Unternehmensnetzwerke darstellen, indem er sich über anfällige Geräte Zugang verschafft, so ein Sicherheitsexperte.

    “Böswillige Akteure, wie die, die hier am Werk sind, nutzen diese Geräte gerne aus, um sich Zugang zu den dahinter liegenden internen Netzwerken zu verschaffen oder einfach nur, um sie als Plattform für andere Angriffe zu nutzen”, bemerkte Erich Kron, Sicherheitsbeauftragter bei der Sicherheitsfirma KnowBe4, in einer E-Mail an Threatpost.

    Zu den Angriffen, die gestartet werden können, sobald ein Hacker ein Gerät übernimmt und das von ihm genutzte Netzwerk huckepack nimmt, gehören DDoS-Angriffe, die zur Erpressung von Geld von den Opfern führen können, so Kron. Angreifer können auch Malware über die Internetverbindung des Opfers hosten und verbreiten, so Kron.

    Angesichts der Anzahl der Schwachstellen, die er ausnutzen kann, zeigt BotenaGo auch, wie wichtig es ist, IoT- und Router mit der neuesten Firmware und den neuesten Patches auf dem neuesten Stand zu halten, um zu vermeiden, dass sie für Angriffe zur Verfügung stehen, fügte er hinzu.

    Möchten Sie die Kontrolle über die fadenscheinigen Passwörter zurückgewinnen, die zwischen Ihrem Netzwerk und dem nächsten Cyberangriff stehen? Darren James, Leiter der internen IT-Abteilung bei Specops, und Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, zeigen Ihnen in der kostenlosen LIVE-Veranstaltung “Password Reset”, wie das geht: Kontrolle über Anmeldeinformationen erlangen, um Angriffe zu stoppen”, am Mittwoch, den 17. November um 14 Uhr ET. Gesponsert von Specops.

    Registrieren Sie sich JETZT für die LIVE-Veranstaltung und senden Sie Ihre Fragen im Voraus an Becky Bracken von Threatpost unter becky.bracken@threatpost.com.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com