Kode Botnet BotenaGo Bocor ke GitHub, Berdampak pada Jutaan Perangkat

Kode sumber botnet BotenaGo telah bocor ke GitHub, membahayakan jutaan router dan perangkat internet-of-things (IoT), kata para peneliti.

Dalam laporan hari Rabu, AT&T Alien Labs – yang pertama kali menemukan malware yang sulit dideteksi pada bulan November – mengatakan bahwa mereka mengharapkan ketersediaan kode sumber yang siap untuk pembuat malware akan memperluas jumlah serangan.

Mengunggah kode sumber ke GitHub “berpotensi menyebabkan peningkatan signifikan varian malware baru karena pembuat malware akan dapat gunakan kode sumber dan sesuaikan dengan tujuan mereka,” tulis peneliti keamanan Alien Labs Ofer Caspi. “Alien Labs mengharapkan untuk melihat kampanye baru berdasarkan varian BotenaGo yang menargetkan router dan perangkat IoT secara global.”

Caspi mengatakan bahwa hingga kemarin, deteksi vendor antivirus (AV) untuk BotenaGo dan variannya masih mengalami kendala dalam hal pendeteksian. malware, dengan sampel BotenaGo yang ditemukan pada bulan November masih lolos dari sebagian besar perangkat lunak AV untuk menginfeksi sistem dengan salah satu botnet paling populer: Mirai.

Tangkapan layar di bawah dari VirusTotal di bawah ini menunjukkan betapa sedikit program AV – tiga dari 60 – yang mendeteksi varian baru malware. Deteksi AV tingkat rendah untuk varian baru BotenaGo. Sumber: VirusTotal.

Scrawny Code, Brawny Malware

Alien Labs baru-baru ini menemukan bahwa kode sumber BotenaGo telah diunggah ke platform pengembangan perangkat lunak GitHub yang sangat populer sebulan sebelum para peneliti menemukan malware untuk memulai: Secara khusus, itu diunggah pada Oktober. 16.

Kebocoran berarti bahwa setiap aktor jahat dapat menggunakan, memodifikasi, dan meningkatkan malware, kata Caspi, “atau bahkan hanya mengompilasinya apa adanya dan menggunakan kode sumber sebagai kit eksploit, dengan potensi untuk memanfaatkan semua eksploit BotenaGo untuk menyerang yang rentan. devices.”

Researchers juga menemukan alat hacking tambahan, dari beberapa sumber, dikumpulkan dalam repositori yang sama.

Alien Labs menyebut kode sumber malware “sederhana namun efisien”, mampu melakukan serangan malware dengan total hanya 2.891 baris kode (termasuk baris dan komentar kosong). Dalam penulisan November, Alien Labs mencatat bahwa BotenaGo, yang ditulis dalam bahasa pemrograman Golang sumber terbuka Google, dapat mengeksploitasi 33 kerentanan untuk akses awal.

Malware ini ringan, mudah digunakan, dan kuat. Hanya 2.891 baris kode BotenaGo yang diperlukan untuk serangan malware, termasuk, namun tidak terbatas pada, menginstal shell terbalik dan pemuat telnet yang digunakan untuk membuat pintu belakang untuk menerima perintah dari operator command-and-control (C2).

Caspi menjelaskan bahwa BotenaGo memiliki pengaturan otomatis dari 33 eksploitasinya, menghadirkan penyerang “status siap” untuk menyerang target yang rentan dan menginfeksinya dengan muatan yang sesuai berdasarkan jenis target atau sistem operasi.

Kode sumber bocor ke GitHub dan digambarkan di bawah ini memiliki fitur Daftar vendor dan perangkat lunak yang “didukung” yang digunakan oleh BotenaGo untuk menargetkan eksploitasinya pada banyak router dan perangkat IoT. Eksploitasi yang tersedia
BotenaGo untuk beberapa vendor, seperti yang dikomentari pada kode sumber yang bocor. Sumber: Tangkapan layar GitHub melalui AT&T Alien Labs.

Server C2 Baru

Selain fakta bahwa BotenaGo masih tidak terdeteksi oleh sebagian besar produk AV, Alien Labs juga baru-baru ini menemukan bahwa satu varian dikonfigurasi untuk menggunakan server C2 baru, seperti yang ditunjukkan di bawah ini.
Command untuk mengkonfigurasi server C2 untuk varian BotenaGo. Sumber: AT&T Alien Labs.

Caspi mengatakan bahwa juga perlu diperhatikan bahwa “alamat IP untuk salah satu server penyimpanan muatan BotenaGo termasuk dalam daftar indikator kompromi (IoC) untuk mendeteksi eksploitasi kelemahan Apache Log4Shell di perpustakaan logging Log4j .”

Mengikuti Jejak Mirai

Dengan rilis kode sumber BotenaGo baru-baru ini, risiko terhadap router dan perangkat IoT akan meningkat, prediksi Caspi. Sejarah menceritakan kisahnya: Botnet Mirai meroket menjadi terkenal setelah kode sumbernya juga diunggah ke forum komunitas peretasan pada tahun 2016, dan kemudian diunggah ke GitHub bersama dengan detail tentang infrastruktur, konfigurasi, dan cara membangunnya.

“Hari ini, Varian BotenaGo berfungsi sebagai perangkat eksploit yang berdiri sendiri dan sebagai alat penyebaran untuk malware lainnya, ”katanya. “Sekarang dengan kode sumbernya tersedia untuk peretas jahat, aktivitas jahat baru dapat ditambahkan dengan mudah ke malware. Alien Labs melihat potensi peningkatan yang signifikan dalam varian malware ini, memunculkan potensi keluarga malware baru yang dapat menempatkan jutaan router dan perangkat IoT dalam risiko serangan.”

Cara Membuat BotenaGo Go-Go-Go Away

Peneliti Alien Labs merekomendasikan tiga langkah-langkah untuk menjauhkan malware ini dari perangkat:
Pertahankan paparan minimal ke Internet di server Linux dan perangkat IoT dan gunakan firewall yang dikonfigurasi dengan benar;

Instal keamanan dan peningkatan firmware dari vendor, sesegera mungkin;

Dan periksa sistem Anda untuk port terbuka yang tidak perlu dan mencurigakan proses.