I ricercatori di Nozomi Networks Labs hanno scoperto una nuova variante del malware BotenaGo che prende di mira specificamente i dispositivi DVR con telecamera di sicurezza Lilin, denominata dai ricercatori “scanner Lillin” a causa del nome utilizzato dagli sviluppatori nel codice sorgente: /root/lillin.go.

BotenaGo è un malware relativamente nuovo scritto nel linguaggio di programmazione open source di Google “Go” implementato con oltre 30 funzioni di exploit e utilizzato per mettere a rischio di potenziali attacchi informatici i dispositivi IoT.

Nell’ottobre 2021 il codice sorgente del malware è trapelato, portando alla creazione di nuove varianti basate sull’originale. I ricercatori di Nozomi Networks Labs, mentre monitoravano i campioni che avrebbero potuto essere generati utilizzando parti del codice sorgente di BotenaGo, hanno scoperto un campione che conteneva alcune somiglianze che non era stato rilevato da nessun motore di rilevamento malware in VirusTotal.

I ricercatori hanno spiegato che la parte del codice dannoso effettivo è piuttosto piccola e si concentra su una singola attività e che i suoi autori hanno rimosso quasi tutti gli oltre 30 exploit presenti nel codice sorgente originale di BotenaGo e hanno riutilizzato alcune parti per sfruttare una vulnerabilità diversa che aveva più di due anni, il che potrebbe spiegare il motivo per cui il campione non è stato rilevato fino ad ora.

Per funzionare, Lillin scanner necessita di un parametro da passare nella riga di comando. Questa sarà la porta utilizzata per connettersi a ciascuno degli indirizzi IP a cui punta il programma. È probabile che questo strumento sia collegato a un altro programma che crea elenchi di dispositivi Lilin utilizzando servizi come Shodan o altri strumenti di scansione massiva.

Successivamente, verrà eseguita un’iterazione sugli indirizzi IP che riceve dallo standard input e verrà creata una Goroutine (una sorta di thread utilizzato in Go) per indirizzo IP che esegue la funzione dedicata infectFunctionLilinDvrfunzione.

Una volta che la infectFunctionLilinDvrfunzione riceve l’indirizzo IP da scansionare, verifica se è possibile accedere al dispositivo dietro quell’IP. Lillin scanner contiene 11 coppie di credenziali utente-password nel suo codice. Questa è una differenza rispetto ai precedenti campioni di malware che hanno abusato solo delle credenziali root/icatch99e report/8Jg0SR8K50. Queste credenziali sono codificate in Base64 per essere utilizzate nell’autenticazione di base necessaria per sfruttare la vulnerabilità che consente l’esecuzione di codice in remoto (RCE).

Lillin scanner eseguirà il loop delle 11 credenziali codificate e proverà in sequenza ad accedere alla directory principale, modificando la stringa Base64. Quando la risposta del server conterrà una determinata stringa (HTTP/1.1 200o HTTP/1.0 200), l’autenticazione sarà considerata riuscita e la variante tenterà di sfruttare la vulnerabilità di configurazione NTP (Network Time Protocol).

Questa vulnerabilità, parte di una serie di vulnerabilità di sicurezza che interessano i DVR Lilin, è stata scoperta nel 2020 e il fornitore ha ricevuto un punteggio CVSS v3.1 di 10.0 (Critico).

Lillin Scanner, quindi, invierà richieste POST HTTP al fine di sfruttare una vulnerabilità di iniezione di comandi nell’interfaccia web dei dispositivi colpiti e in caso di esito positivo, questa richiesta modificherà la configurazione NTP della telecamera. La configurazione modificata contiene un comando che, a causa della vulnerabilità, tenterà di scaricare un file denominato wget.shd e quindi eseguirà immediatamente il suo contenuto. Se l’operazione riesce, lo scanner tenterà lo stesso attacco all’endpoint /cn/cmd.

Una volta completato l’attacco, un’altra richiesta allo stesso endpoint ripristinerà la configurazione NTP originale.

 

https://www.nozominetworks.com/blog/new-botenago-variant-discovered-by-nozomi-networks-labs/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE