BotenaGo botnet

またもや新しい脅威が観測されています。
IoTデバイスをターゲットとするボットネットを構成するマルウェアです。

このBotenaGoは、Go言語で作成されています。
Go言語で作成されたアプリケーションは配布時にコンパイルしてバイナリの状態にしますので、記述は流行りの簡単さで実装することができる割に、検出やリバースエンジニアリングが困難なペイロードを作成することができるといえます。
このため、マルウェアを記述する言語として選ばれやすい傾向があります。

このBotenaGoは、2021年11月11日時点のVirusTotalに登録された各種ウイルス対策の機構では、62種あるもののうちのたったの6種でしか検出できず、しかも、その6種のなかの一部のものは、これがMiraiであると検出するということになっています。

次のようなものであるといえます。

• BotenaGoは、多段階のモジュラーマルウェア攻撃の一部である
• BotenaGoは、Miraiなどの他の機構と組み合わせて悪用される
• BotenaGoはドロッパーとして動作するが、ドロップしてくるためのペイロードはまだ準備が完了していない
  このため、BotenaGoはすでに広がっていることが観測されているが、脅威として悪事を実行する段階には至っていない
• BotenaGoには、さまざまなルーター、モデム、NASデバイス用のエクスプロイトが組み込まれている
  その数は確認されているだけで33種もあります。
  これらが関連すると思われる機器の台数は、Shodanで確認すると200万台くらいあると考えられる
  代表的なデバイスと、それに対応するために悪用されている脆弱性は次のようなものです。
  • D-Link routers
    CVE-2015-2051, CVE-2020-9377, CVE-2016-11021
  • Netgear
    CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334
  • Realtek SDK based routers
    CVE-2019-19824
  • Zyxel routers and NAS devices
    CVE-2017-18368, CVE-2020-9054
  • Tenda products
    CVE-2020-10987
  • ZTE modems
    CVE-2014-2321
  • Guangzhou 1GE ONU
    CVE-2020-8958
• VDSL gatewayのコマンドインジェクションが可能な脆弱性を悪用する
  CVE-2020-10173の悪用です。
  Shodanで確認するとこの問題が現存する機器は25万台あります。

自分が普段使っている手元のパソコンやよく利用するサーバに対しての脆弱性対策は、習慣として活動できるようになってきている方もいらっしゃるでしょう。
これはこれで重要です。
次は、周辺にあるIoTデバイスも更新対象として意識していけるといいと思います。

参考記事（外部リンク）：BotenaGo botnet targets millions of IoT devices with 33 exploits
www.bleepingcomputer.com/news/security/botenago-botnet-targets-millions-of-iot-devices-with-33-exploits/