首页 > 安全 > 正文

新的BOTENAGO VARIANT专门针对LILIN安全摄像机DVR设备

最后更新 :2022.04.20

研究人员发现了一个被认为是高度保存的BOTENAGO僵尸网络恶意软件的新变种,并且具有零次探测率。

博伊戈僵尸网络首次于2021年11月由研究人员发现,& t,the恶意代码利用三十三个利用来定位数百万路由器和物联网设备。

Botenago是用Golang(Go)和专家发布的报告的时候写的,它具有A  Low 抗病毒(AV)检测率 (6/62)。

肉类源代码以来在线可用,自10月2021年以来,允许多个威胁演员通过添加新的漏洞来创建自己的版本来感染最大的数字。

研究人员AT  Nozomi Networks Labs 最近发现了一种专门针对Lilin安全摄像机DVR设备的新BOTENAGO变体。

由于NAM,他们分析了他们分析了“Lillin扫描仪”的样本e在源代码:&nbsp中使用的开发人员;它是“Lillin扫描仪”。

我们决定监测可以利用BOTENAGO源代码的部分生成的样本。在这样做时,我们发现了包含肉类的某些相似性的样本。读取Nozomi网络发布的分析。在该研究的时候, 样本 尚未被任何恶意软件检测引擎在Virustotal中检测到。虽然样本相当大(2.8 MB),但由于被写入,但实际恶意代码的部分非常小,侧重于单一任务。

据专家介绍,作者几乎所有包括在BOTENAGO的原始代码中的30个漏洞中都被删除,并重复使用一些部分来利用影响李的RCE漏洞林DVR设备。

恶意软件使用了InfeccunctionLilindVR 函数要接收IP地址扫描,首先尝试访问该IP后面的设备。专家注意到Lillin扫描仪与BOTENAGO恶意软件不同,在其代码中包含11对用户密码凭据。设备使用列表中的一个凭据,恶意软件利用漏洞执行任意代码。

lillin扫描程序将循环超过11个编码的凭据,并将顺序地尝试访问根目录,更改base64字符串授权领域。当服务器响应包含字符串HTTP / 1.1 200或HTTP / 1.0 200时,它将考虑身份验证要成功,并将尝试利用网络时间协议(NTP)CONFIGURAT离子脆弱性。继续分析。此漏洞,影响Lilin DVRS的一组安全漏洞的一部分,于2020年发现,由供应商分配了CVSS V3.1分数10.0(关键)。

扫描仪可以利用命令注入漏洞在DVR的Web界面中,通过向URL路径/ DVR / CMD和/CN/CMD发送特制HTTP POST请求。

:成功,请求修改相机的NTP配置。修改后的配置包含一个命令,该命令尝试从IP地址136.144.41 [。] 169然后执行其内容的命令。如果命令注入到/ dvr / cmd不成功,则扫描仪会尝试对端点/ cn / cmd的相同攻击。一旦攻击完成,对同一端点的另一个请求恢复了原始的NTP配置。

在攻击的下一阶段,  wget.sh 文件下载编译的mirai有效载荷为mulpip编译LE体系结构和尝试在受损设备上执行它们。所有这些样品在2022年3月初已经上传到Virustotal. botenago variant.jpg专家们还注意到该袭击中雇用的Mirai Botnet不包括属于美国国防部(国防部)内部网络的IP范围,美国邮政服务(USPS),通用电气(GE),Hewlett-Packard(HP)等。
除了在全新的项目上工作,攻击者还通常重复使用已有的代码来构建新的恶意软件。监控这些项目的演变有助于创造更加强大和通用的检测,以便更长时间积极主动,从而提供更好的防止现代网络术。总结Nozomi。

请投票为安全事务作为最佳欧洲网络安全博主奖奖励2022投票给您的获奖者

在弱者中投票给我(非商业人士)安全博客和tEch Whiz最好的技术博客和您选择的其他技术博客。

提名,请访问:

https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多