研究人员在GITHUB上发现了高效的物联网僵尸网络,命名为BOTENAGO源代码。这让一些肆无忌惮的攻击者可以更好的利用BOTENAGO的力量进行攻击。

多年来,某些历史事件已成为民间安全法的一部分。我相信你们都会记得WannaCry、NotPetya、Colonial Pipeline 和 SolarWinds。那么谁又能忘记Mirai? 是的,那是2016年,也许我们可以简单回顾一下Mirai。

Mirai是一种恶意软件,它利用数以百万计的物联网设备中的漏洞进行攻击,病毒入侵这些设备并将其转化为机器人,这些设备则无意中被用作超大僵尸网络的一部分。最终,由此产生的僵尸网络被广泛地用于大规模DDoS攻击。在一个案例中,Mirai僵尸网络关闭了关键的DNS服务提供商Dyn,导致许多流行的互联网网站和服务中断。

Mirai不是真正的漏洞利用者或黑客,它更像是一种访问公开的物联网设备的情况,而这些设备本身的安全控制很弱,包括它们的固定用户名和已知密码。鉴于传统上许多 IOT 设备固有的不安全性,并且数量惊人,因此Mirai 带来了前所未有的巨大规模的僵尸网络。

这个故事的一个转折点是DDoS缓解解决方案的联合创始人,因此您可以将MIRAI视为其业务增长战略的关键部分。另一个转折点是,他们将代码发布到公共论坛,后来又发布到Github,试图掩盖他们的踪迹。他们认为自己是安全的,因为他们不是唯一在机器上有代码的人。然而,这种广泛的可用性是僵尸网络整体影响的关键,因为该代码适用于构建针对各种架构的多个变体。

历史有重演的习惯,所以往前走六年,我们又来了。2021年11月,AT&T外星实验室™ 首次发表了关于他们发现的研究,并将该恶意软件命名为“BotenaGo”,并以Golang(Go)的形式对其进行了微妙的认可。Threatpost为我们带来了关于BotenaGo的最新文章

以下是到目前为止我们对BotenaGo的了解:

•它可能会影响数百万路由器和物联网设备

•代码现在发布在Github上

•恶意软件很难检测。

•妥协的命令和控制 (C2) 指标 (IOCs) 之一来自 Apache Log4Shell IOCs。

这可能会影响数百万路由器和物联网设备,最佳的实践告诉我们不要将物联网设备暴露在互联网上。然而,考虑到物联网功能的广泛性,在许多情况下,它们的设计预期最终会暴露出来。我们还知道,许多物联网设备的设计并不注重安全性,在某些情况下使用固定凭据,因此确实应该部署额外的安全措施来保护它们。再加上BotenaGo利用路由器的事实,BotenaGo的许多担忧都是合理的。你只需要在Shodan上运行一些简单的搜索,就可以找到成千上万个可能成为目标的设备,而这只是一个搜索词。

代码现在在Github上,公开这些代码非常重要。首先,这意味着威胁参与者可以修改代码,以针对其他载体、架构等。考虑到它所使用的语言(go)适合于不同体系结构的编译,很可能会出现衍生品。然而,访问物联网设备并不一定是最终结果,我们可以预计这将成为瞄准网络上其他资产、扩展其他利用和架构以及有效负载的一个支点。不管怎样,历史告诉我们,DDoS活动可能会增加。

这些病毒很难被检测到,最初,根据VirusTotal的数据显示,60家安全供应商中只有3家检测到了BotenaGo。现在增加到了25个,并且没有沙箱。谷歌的开源Golang语言(GO)的使用也很重要,因为它可以轻松地编译不同的体系结构,因此我们预计将会看到许多变体。

缓解建议

建议的缓解措施与MIRAI爆发相比没有显著变化:

•通过最大限度地减少物联网设备的互联网暴露来减少攻击面。

•确保您的设备位于正确配置的防火墙后面。

•安装最新固件和软件更新。

当然这些是明智的建议。然而,当我们看到历史重演的这一事实,确实突显出我们没有尽我们所能解决这个问题。

我们依赖安全控制,但60家安全供应商中只有3家(没有沙箱)检测到了这种恶意软件。

那么,在Github上安装代码会带来什么样的有效负载:它们会被检测到吗?

我们如何确保正确配置防火墙?

这么多问题!

Keysight如何提供帮助

当MIRAI在2016年首次出现时,入侵和模拟攻击还没有定义。那么现在,你可以升级游戏了。部署Keysight Threat Simulator可以让您持续测量、管理和提高网络安全效率。简而言之,Threat Simulator可以帮助您解决这些问题以及更多问题。

最近,Keysight的应用程序威胁情报团队(ATI)在Threat Simulator上开发了一个名为优先风险缓解的功能。此功能使Keysight的客户能够访问过去24小时内常见的最新恶意软件,如果您听说其中包含BotenaGo样本,您不必感到惊讶。

如何知道您是否容易受到最新的来自BotenaGo的攻击

你担心又一个网络威胁。你希望自己受到保护,但你必须等待4个月才能确定参与下一次的测试。然而你的网络和设备将有很长一段时间都可能受到攻击。

为什么要等呢?您现在可以安全地在网络上模拟BotenaGo攻击。只需在网络上部署Threat Simulator代理,模拟易受攻击的物联网设备,并安全地策划实际攻击。此外,Threat Simulator将告诉您是否能够阻止攻击,并在SIEM收到警报时通知您。此外,如果需要修复,它将准确地向您展示如何修复特定安全控制的漏洞。

如果攻击成功,如何知道你是否可以避免横向移动

横向移动是一个大问题。物联网设备遭到入侵是一回事,但如果网络犯罪分子将攻击转向更高价值的资产,甚至其他网络领域,可能会造成更大的损害。

“Threat Simulator”让你只需点击几下鼠标,就能运行完整的杀伤链场景和横向移动。在所有网段中部署Threat Simulator来代理意味着您可以随时持续运行这些场景。因为Keysight只针对Keysight的代理人,所以您的高价值资产并不存在风险。

如何确保您能够检测到BotenaGo的新变种

由于出现了如此多的恶意软件变体(尤其是在这种情况下),再加上检测率非常低,您需要确保能够检测到BotenaGo的任何变体。但是你如何获取最新的恶意软件,在你的网络中运行它,并在不意外引爆它的情况下完成所有操作呢?

Threat Simulator有一个Keysight称之为优先风险缓解的功能。这意味着系统会自动通知您Keysight在过去24小时内看到的最新的恶意软件。然后,您可以安排评估,每天测试您对这些攻击的防御能力。如果你没有检测到什么,Keysight会将其标记给你,这样你就可以立即采取行动。当然,你的网络和安全工具是完全安全的。虽然这是真正的恶意软件(必须允许检测),但Keysight只针对Keysight的代理,不会引爆它,所以你是安全的。

世强硬创平台作为Keysight一级授权代理商,提供网络分析仪、示波器、电流波形分析仪等全线产品信息、官方授权技术资料、申请免费样品及技术支持等。

追加内容

本文作者可以追加内容哦 !