针对Lilin Security Camera DVR设备的新BotenaGo恶意软件变体

一种名为BotenaGo的物联网僵尸网络的新变体已经在野外出现，专门挑选出Lilin安全摄像头DVR设备，用Mirai恶意软件感染它们。

Nozomi Networks将其命名为“Lilin Scanner”，最新版本旨在利用这家台湾公司于2020年2月修补的DVR固件中存在两年的关键命令注入漏洞。

2021 11月，美国电话电报公司（AT&amp；T Alien Labs是用Golang编写的，针对web服务器、路由器和其他类型的物联网设备中的已知漏洞进行了30多次攻击。

自那以后，僵尸网络的源代码已上传到GitHub，这使得它可以被其他犯罪行为体滥用。研究人员今年表示：“BotenaGo只有2891行代码，有可能成为使用其源代码的许多新变体和新恶意软件家族的起点。”。

新的BotenaGo恶意软件是继Chalubo、Fbot和Moobot之后利用Lilin DVR设备漏洞的最新恶意软件。本月早些时候，奇虎360的网络安全研究实验室（360 Netlab）详细介绍了一种快速传播的DDoS僵尸网络，名为Fodcha，通过不同的N日漏洞传播，包括Lilin的漏洞和弱Telnet/SSH密码。

Lillin Scanner与BotenaGo不同的一个关键方面是它依赖外部程序来构建易受攻击的Lilin设备的IP地址列表，随后利用上述缺陷在目标上远程执行任意代码并部署Mirai有效负载。

值得注意的是，恶意软件无法以类似蠕虫的方式自我传播，只能用于攻击作为Mirai二进制文件输入的IP地址。

研究人员说：“与Mirai僵尸网络相关的另一个行为是排除属于美国国防部（DoD）、美国邮政局（USPS）、通用电气（GE）、惠普（HP）等内部网络的IP范围。”。

与Mirai一样，Lilin Scanner的出现表明，可以重用现成的源代码来产生新的恶意软件分支。

“它的作者删除了BotenaGo原始源代码中几乎所有的30多个漏洞，”研究人员说，并补充道，“似乎这个工具是使用BotenaGo恶意软件的代码库快速构建的。”