威胁分析人员发现了 BotenaGo 僵尸网络恶意软件的一种新变种，它是迄今为止最隐秘的变种，任何反病毒引擎都无法检测到它的运行。

BotenaGo 是一种相对较新的恶意软件，用 Google 的开源编程语言 Golang 编写。

僵尸网络的源代码自 2021 年 10 月被泄露以来，已经公开了大约半年。

从那时起，出现了几个变体，而原始变体继续活跃 并添加了针对数百万物联网设备池的漏洞利用。

Nozomi Networks Labs的研究人员最近发现了一种新的 BotenaGo 变体，它似乎源自泄露的源代码。

他们分析的样本针对 Lilin 安全摄像头 DVR 设备，这促使研究人员将其命名为“Lillin 扫描仪”。

隐秘的新版本
Lillin BotenaGo 变种最显着的特征是它不会被 VirusTotal 扫描平台上的防病毒引擎检测到。

完全逃避检测的 Lillin 扫描仪变体 (Nozomi)
造成这种情况的原因之一是它的作者已经删除了原始 BotenaGo 中存在的所有漏洞，只专注于使用存在两年前的严重远程代码执行漏洞的 Lilin DVR。

值得注意的是，此漏洞与 Fodcha 恶意软件 使用的相同，这是另一个新发现的僵尸网络，用于发起分布式拒绝服务 (DDoS) 攻击，并记录了令人印象深刻的增长。

因此，似乎有大量未修补的 Lilin DVR 设备可供新的僵尸网络恶意软件作者专门针对它。

通往未来的门户
Lillin 扫描仪和原始 BotenaGo 之间的另一个区别是前者依赖外部大规模扫描工具来形成可利用设备的 IP 地址列表。

接下来，恶意软件使用该功能通过明文字符串感染所有有效且可访问的 IP 地址，然后依赖一个硬编码列表，其中包含通常设置在保护不佳的端点上的 11 个凭据。

Lilin 特定的“root/icatch99”和“report/8Jg0SR8K50”也包含在此列表中。如果匹配，威胁参与者可以在目标上远程执行任意代码。

身份验证尝试 （Nozomi）
该漏洞利用带有恶意代码的 POST 请求，提交到dvr/cmd，旨在修改摄像机的 NTP 配置。

如果成功，新配置将执行wget命令从 136.144.41[.]169 下载文件 ( wget.sh )，然后运行它。如果不成功，恶意软件会尝试将命令注入cn/cmd。

使用 wget 命令的 POST 请求 （Nozomi）
wget.sh文件下载为多种架构编译的Mirai 有效载荷，并在受感染的设备上执行它们。

其中一些有效载荷于最近和 2022 年 3 月被上传到 VirusTotal，这表明测试期是新鲜的。

Nozomi 研究人员报告称，Mirai 具有一些 IP 范围排除功能，以避免感染美国国防部 (DoD)、美国邮政服务 (USPS)、通用电气 (GE)、惠普 (HP) 等。

Mirai (Nozomi)上的 IP 范围排除
Mirai 接管了更广泛的漏洞利用和设备列表，因此在这次活动中，Lilin DVR 漏洞利用充当了更大的感染浪潮的门户。

不是一个巨大的威胁
Lillin 扫描仪变体似乎不会对物联网构成巨大威胁，因为它的目标非常明确，即使第二阶段 Mirai 具有更强大的潜力。

而且，它不能自行传播，因为扫描和感染功能都是手动操作的，所以它更像是一种窄目标威胁，或者可能还处于实验阶段。

尽管如此，它仍然是一个有趣的新僵尸网络项目，它证明了恶意软件作者使用已知的记录代码构建完全隐蔽的僵尸网络是多么容易。

最后，这是另一个例子，说明技能较低的网络犯罪分子如何利用泄露的恶意软件源代码来建立自己的行动。