BotenaGo Botnet

Ein neues Botnet namens BotenaGo wurde in freier Wildbahn identifiziert. Die Bedrohung kann Millionen von anfälligen IoT-Geräten (Internet of Things) und Routern infizieren. Tatsächlich entdeckten die Forscher von AT&T nach der Analyse einer Stichprobe der Bedrohung, dass sie über 33 Schwachstellen in Routern, Modems und NAS-Geräten ausnutzen könnte. Einige der Zielmaschinen umfassen D-Link-Router (über CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), Realtek SDK-basierte Router (CVE-2019-19824), ZTE-Modems (CVE-2014 -2321), Netgear-Geräte (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) und mehr.

Wie der Name vermuten lässt, wird das Botnet BotenaGo mit der Programmiersprache Go erstellt. Go hat in den letzten Jahren bei Cyberkriminellen an Popularität gewonnen, da es plattformübergreifende Funktionen bietet und gleichzeitig die Bedrohungen sowohl schwerer zu erkennen als auch zu rekonstruieren macht.

Bedrohliche Funktionalität

Wenn die BotenaGo-Malware auf dem Zielgerät bereitgestellt wird, richtet sie Abhörroutinen an zwei spezifischen Ports ein – 31412 und 194121. Die Bedrohung wartet darauf, dass ihr von den Angreifern eine IP-Adresse bereitgestellt wird. Nach Erhalt einer geeigneten IP-Adresse wird BotenaGo die Schwachstellen seines Exploits durchgehen, um Zugang zu erhalten. Danach führt es mehrere Shell-Befehle aus, um das Gerät zu seinem Botnet hinzuzufügen. Die Bedrohung ruft über mehrere verschiedene Links eine für das Zielgerät geeignete Nutzlast ab.

Noch nicht betriebsbereit

Die Forscher konnten keine Nutzlasten vom Hosting-Server abrufen und konnten keine Kommunikation zwischen BotneaGo und seinem Command-and-Control-Server (C2, C&C) feststellen. Für eine konkrete Erklärung fehlen die Daten, aber infosec-Experten haben drei mögliche Szenarien:

1. Das gefundene BotenaGo-Botnetz ist nur eines von mehreren Modulen, die Teil eines mehrstufigen Malware-Angriffs sind.
2. Die Bedrohung könnte ein neues Tool sein, das von Mirai- Betreibern verwendet wird. Diese Vermutung wird durch mehrere Links unterstützt, die zum Liefern von Nutzlasten verwendet werden.
3. Die fehlende C2-Kommunikation kann einfach ein Zeichen dafür sein, dass BotenaGo noch nicht einsatzbereit ist und die von den Forschern gefangene Probe versehentlich in freier Wildbahn freigesetzt wurde.

Nutzer und Unternehmen sollten die IoCs (Indicators of Compromise) der Bedrohung beachten und ausreichende Gegenmaßnahmen ergreifen.