È stata identificata una variante della botnet BotenaGo che sta prendendo di mira i dispositivi DVR delle telecamere di sicurezza Lilin. Per questo motivo, i ricercatori di sicurezza hanno deciso di chiamare la nuova variante Scanner Lilin. Lilin sarebbe anche il nome utilizzato dagli sviluppatori nel codice sorgente /root/lillin.go.
BotenaGo, lo ricordiamo, è un malware relativamente nuovo scritto in Golang, il linguaggio di programmazione open source di Google.
Si tratta di uno dei codici malevoli più furtivi visto finora, in grado di rimanere in esecuzione nei sistemi esposti senza essere rilevato dagli antivirus.
Il codice sorgente della botnet risulta disponibile pubblicamente da circa sei mesi dopo essere stato trapelato nell’ottobre 2021. Ciò avrebbe portato alla creazione di nuove varianti basate sul codice originale.
Indice degli argomenti
La vulnerabilità sfruttata dalla variante di BotenaGo
Lo scanner Lilin, variante di BotenaGo utilizzato per formare gli elenchi di indirizzi IP di dispositivi esposti sfruttabili in Rete, si baserebbe su uno strumento esterno di scansione massiva (utilizzando servizi come Shodan o altri strumenti simili).
Solo successivamente, il malware utilizzerebbe una funzione dedicata (infectFunctionLilinDvr) per infettare tutti gli indirizzi IP validi e accessibili tramite stringhe di testo tratte da un elenco di 11 coppie di credenziali (username:password) codificate in Base64, e forzare così un’autenticazione semplice.
![Credentials used for bruteforce access to the DVRs.](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/04/credentials-used-for-bruteforce-access-to-the-dvrs.png)
In particolare, lo scanner invierà richieste POST HTTP verso le URL “/dvr/cmd” o “/cn/cmd” al fine di sfruttare una vulnerabilità di iniezione di comandi nell’interfaccia web dei dispositivi colpiti.
L’obiettivo sarebbe quello di modificare la configurazione delle telecamere DVR Lilin, sfruttando una vecchia vulnerabilità di configurazione NTP (Network Time Protocol) che interessa proprio tali dispositivi, scoperta nel 2020 e avente un punteggio CVSS v3.1 critico (10.0).
Qualora l’operazione avesse esito positivo, la nuova configurazione eseguirà un comando wget per scaricare il file wget.sh dall’indirizzo 136.144.41[.]169 ed eseguirlo.
![POST request with the injected wget command.](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/04/post-request-with-the-injected-wget-command-.png)
Una volta completato l’attacco, un’altra richiesta allo stesso endpoint ripristinerà la configurazione NTP originale.
L’attacco di terza fase
Il file wget.sh avrà il compito di avviare una terza fase dell’attacco scaricando ricorsivamente diversi eseguibili, coinvolgendo diverse architetture: ARM, Motorola 68000, MIPS, PowerPC, SPARC, SuperH e x86.
Per tutti questi motivi i ricercatori ritengono che l’exploit Lilin fungerebbe principalmente da trampolino di lancio per un’ondata di infezione molto più ampia.
![The content of wget.sh file.](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/04/the-content-of-wget-sh-file-.png)
Le similitudini dei payload con la famiglia Mirai
L’analisi condotta sui campioni eseguibili e scaricati avrebbe rivelato inoltre alcune similitudini appartenenti alla famiglia di malware Mirai:
- l’utilizzo per l’attacco a forza bruta di un elenco di credenziali hardcoded;
![Non-exhaustive list of hardcoded credentials used by Mirai malware from the source code.](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/04/non-exhaustive-list-of-hardcoded-credentials-used.png)
- l’esclusione degli intervalli IP appartenenti alle reti interne del Dipartimento della Difesa statunitense (DoD), US Postal Service (USPS), General Electric (GE) e Hewlett-Packard (HP);
![Some of the IP ranges listed in the source code that are excluded while scanning.](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/04/some-of-the-ip-ranges-listed-in-the-source-code-th.png)
Conclusioni
La caratteristica più notevole di questa variante di BotenaGo (Lillin) è che al momento della stesura di questo articolo presenta ancora un tasso di rilevazione quasi nullo sulla piattaforma di scansione VirusTotal.
![](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/04/word-image-7.png)
Secondo i ricercatori, questo potrebbe essere dovuto al fatto che “i suoi autori hanno rimosso quasi tutti gli oltre 30 exploit presenti nel codice sorgente originale di BotenaGo e hanno riutilizzato alcune parti per sfruttare una vulnerabilità diversa vecchia di due anni”.
Inoltre, continuano: “l’assenza di qualsiasi protezione [da parte del malware] indica che non sta effettivamente cercando di proteggersi da prodotti di sicurezza e reverse engineer. Rafforza [solo] la teoria secondo cui questo eseguibile potrebbe essere inteso principalmente per essere utilizzato dagli attaccanti in modalità manuale”.
In ogni caso per prevenire un’infezione da qualsiasi malware botnet occorre senza dubbio:
- prestare sempre la massima attenzione ai download sospetti;
- evitare di lasciare esposti su internet dispositivi senza una adeguata protezione;
- aggiornare sempre software e patch di sicurezza.