新的BOTENAGO VARIANT专门针对LILIN安全摄像机DVR设备

最后更新：2022.04.20

研究人员发现了一个被认为是高度保存的BOTENAGO僵尸网络恶意软件的新变种，并且具有零次探测率。

博伊戈僵尸网络首次于2021年11月由研究人员发现，＆amp; t，the恶意代码利用三十三个利用来定位数百万路由器和物联网设备。

Botenago是用Golang（Go）和专家发布的报告的时候写的，它具有A＆NBSP; Low＆NBSP;抗病毒（AV）检测率＆NBSP;（6/62）。

肉类源代码以来在线可用，自10月2021年以来，允许多个威胁演员通过添加新的漏洞来创建自己的版本来感染最大的数字。

研究人员AT＆NBSP; Nozomi Networks Labs＆NBSP;最近发现了一种专门针对Lilin安全摄像机DVR设备的新BOTENAGO变体。

由于NAM，他们分析了他们分析了“Lillin扫描仪”的样本e在源代码：＆nbsp中使用的开发人员;它是“Lillin扫描仪”。

我们决定监测可以利用BOTENAGO源代码的部分生成的样本。在这样做时，我们发现了包含肉类的某些相似性的样本。读取Nozomi网络发布的分析。在该研究的时候，＆NBSP;样本＆NBSP;尚未被任何恶意软件检测引擎在Virustotal中检测到。虽然样本相当大（2.8 MB），但由于被写入，但实际恶意代码的部分非常小，侧重于单一任务。

据专家介绍，作者几乎所有包括在BOTENAGO的原始代码中的30个漏洞中都被删除，并重复使用一些部分来利用影响李的RCE漏洞林DVR设备。

恶意软件使用了InfeccunctionLilindVR＆NBSP;函数要接收IP地址扫描，首先尝试访问该IP后面的设备。专家注意到Lillin扫描仪与BOTENAGO恶意软件不同，在其代码中包含11对用户密码凭据。设备使用列表中的一个凭据，恶意软件利用漏洞执行任意代码。

lillin扫描程序将循环超过11个编码的凭据，并将顺序地尝试访问根目录，更改base64字符串授权领域。当服务器响应包含字符串HTTP / 1.1 200或HTTP / 1.0 200时，它将考虑身份验证要成功，并将尝试利用网络时间协议（NTP）CONFIGURAT离子脆弱性。继续分析。此漏洞，影响Lilin DVRS的一组安全漏洞的一部分，于2020年发现，由供应商分配了CVSS V3.1分数10.0（关键）。

扫描仪可以利用命令注入漏洞在DVR的Web界面中，通过向URL路径/ DVR / CMD和/CN/CMD发送特制HTTP POST请求。

：成功，请求修改相机的NTP配置。修改后的配置包含一个命令，该命令尝试从IP地址136.144.41 [。] 169然后执行其内容的命令。如果命令注入到/ dvr / cmd不成功，则扫描仪会尝试对端点/ cn / cmd的相同攻击。一旦攻击完成，对同一端点的另一个请求恢复了原始的NTP配置。