Malware BotenaGo belum diketahui untuk apa sasaran Router Network IoT


Security | 13 November 2021

AT&T telah mengungkapkan malware BotenaGo dapat memengaruhi jutaan router dan perangkat Internet of Things.

Alien Labs memberi nama malware BotenaGo karena dibuat dalam program Go.
Bahasa pemrograman awalnya dirancang Google secara khusus untuk sistem jaringan
Tetapi program juga dimanfaatkan menjadi botnet, seperti berfungsi dalam berbagai jenis perangkat.

AT&T Alien Labs mengatakan BotenaGo dapat mengeksploitasi hingga 30 kerentanan berbeda di beberapa perangkat. Perusahaan menggunakan BotenaGo mengunakan teknik Shodan, seperti mesin pencari yang digunakan untuk menemukan perangkat yang terhubung seperti jaringan internet.

Antivirus dapat bertahan dengan malware, tetapi kemampuannya lebih rendah.
Dari 62 database pengembang antivirus yang terdaftar di Virustotal, awalnya hanya 6 database dapat menemukan jejak BotenaGo sebagai malware. Terakhir disebutkan 28 database sudah dapat menditeksi BotenaGo

Sebelumnya, 6 database yang dapat mengidentinfikasi dengan internal database mereka,  ada yang mengidentifikan BotenaGo sebagai bot Mirai.

Menurut Alien Labs, strain malware baru yang ditemukan tidak memiliki kemampuan penyerangan seperti malware Mirai, katanya.
BotenaGo hanya mencari sistem yang rentan untuk ditembus dan menginfeksi.
Tidak disangkal juga, bila BotenaGo dan Mirai dirancang untuk bekerja sama.

Perangkat NAS dan Internet of things (IoT) menjadi target dan paling berisiko.

Para peneliti saat ini tidak mengetahui siapa kriminal dunia maya di balik malware tersebut, dan apa tujuannya.


Sejauh ini aktivitas (Nov 2021) BotenaGo hanya mengidentifikasi perangkat yang memiliki kerentanan.
Menurut Intezer, bahasa Go di antara malware yang ditemukan telah meningkat 20x lipat dalam beberapa tahun terakhir.

Malware, dijuluki BotenaGo, berfungsi membuat pintu belakang dan menunggu menerima target untuk dikendalikan dari jarak jauh (RAT) pada port 31412 dan port 19412 yang terbuka agar dapat menerima perintah atau memasukan modul terkait lainnya yang berjalan di perangkat yang sama.

Port BotenaGo

Para peneliti mengatakan BotenaGo tidak memiliki komunikasi aktif ke server C&C-nya atau terus mengirim keberadaan malware ke server tertentu. Ini menimbulkan pertanyaan, bagaimana cara kerjanya? atau untuk apa malware tersebut mencari perangkat dan menginfeksi.



Para peneliti hanya memperkirakan bila malware tersebut adalah bagian dari "malware suite" dan BotenaGo satu modul untuk infeksi yang nanti digunakan dalam serangan. Mungkin ketika dibutuhkan, malware baru diaktifkan.

Ini bisa saja menjadi lanjutan dari penerus Mirai, mendapatkan IP yang sudah telah terinfeksi Mirai

Beberapa model perangkat yang memiliki kerentanan.

Vulnerability Perangkat yang berdampak
CVE-2020-8515 DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta, 1.4.2.1_Beta, and 1.4.4_Beta devices
CVE-2015-2051 D-Link DIR-645 Wired/Wireless Router Rev. Ax with firmware 1.04b12 and earlier
CVE-2016-1555 Netgear WN604 before 3.3.3 and WN802Tv2, WNAP210v2, WNAP320, WNDAP350, WNDAP360, and WNDAP660 before 3.5.5.0
CVE-2017-6077 NETGEAR DGN2200 devices with firmware through 10.0.0.50
CVE-2016-6277 NETGEAR R6250 before 1.0.4.6.Beta, R6400 before 1.0.1.18.Beta, R6700 before 1.0.1.14.Beta, R6900, R7000 before 1.0.7.6.Beta, R7100LG before 1.0.0.28.Beta, R7300DST before 1.0.0.46.Beta, R7900 before 1.0.1.8.Beta, R8000 before 1.0.3.26.Beta, D6220, D6400, D7000
CVE-2018-10561, CVE-2018-10562 GPON home routers
CVE-2013-3307 Linksys X3000 1.0.03 build 001
CVE-2020-9377 D-Link DIR-610
CVE-2016-11021 D-Link DCS-930L devices before 2.12
CVE-2018-10088 XiongMai uc-httpd 1.0.0
CVE-2020-10173 Comtrend VR-3033 DE11-416SSG-C01_R02.A2pvI042j1.d26m
CVE-2013-5223 D-Link DSL-2760U Gateway
CVE-2020-8958 Guangzhou 1GE ONU V2801RW 1.9.1-181203 through 2.9.0-181024 and V2804RGW 1.9.1-181203 through 2.9.0-181024
CVE-2019-19824 TOTOLINK Realtek SDK based routers, this affects A3002RU through 2.0.0, A702R through 2.1.3, N301RT through 2.1.6, N302R through 3.4.0, N300RT through 3.4.0, N200RE through 4.0.0, N150RT through 3.4.0, and N100RE through 3.4.0.
CVE-2020-10987 Tenda AC15 AC1900 version 15.03.05.19
CVE-2020-9054 Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.2, Affected products include: NAS326 before firmware V5.21(AAZF.7)C0 NAS520 before firmware V5.21(AASZ.3)C0 NAS540 before firmware V5.21(AATB.4)C0 NAS542 before firmware V5.21(ABAG.4)C0 ZyXEL has made firmware updates available for NAS326, NAS520, NAS540, and NAS542 devices. Affected models that are end-of-support: NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2
CVE-2017-18368 ZyXEL P660HN-T1A v1 TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31 router distributed by TrueOnline
CVE-2014-2321 ZTE F460 and F660 cable modems
CVE-2017-6334 NETGEAR DGN2200 devices with firmware through 10.0.0.50

Desember 2021 terditeksi aktivasi KMSPico untuk meniru keaslian Windows telah diinfeksi malware Cyrpto Wallet. Hampir semua browser dapat di monitor dan diambil data oleh malware. Disarankan mengambil dari sumber asli pembuat.

Analisa baru infeksi ada di perangkat jaringan terhubung ke LAN Ethernet. Indonesia sarang Botnet, tercatat Cloudflare Agustus, Yandex bulan September. Mencapai 15% serangan botnet Mirai. 17% lainnya dari gabungan perangkat di India dan Brasil. Botnet mencapai 20 ribu perangkat membanjiri trafik internet, terbaru mencapai 200 ribu perangkat



RDP - Remote Desktop Protocol adalah satu fitur di Windows ketika seseorang ingin melakukan remote computer dari computer lain. Tapi hati hati di bulan Mei 2020 ada yang sedang mengumpulkan dengan menginfeksi computer dengan malware Sarwen. Bagaimana menonaktifkan RDP di Windows.

Netgear awal Maret 2020 mengeluarkan patch WIFI ROuter, satu range extender dan 40 router lain termasuk model Netgear Nighthawk dan Orbi router. Salah satu kerentanan dimana ada yang bisa menyusup malware di Netgear device. Seperti perangkat Netgerar Nighthawk X45 Gaming Router model R7800. Dapat menganggu trafik pada perangkat.

Memerika file APK Android dengan browser sebelum di Install. Beberapa aplikasi APK Gratis seperti APK versi Pro banyak yang dimodifikasi, dan diberikan gratis. Tapi apakah aman download APK gratis tersebut. Beberapa tidak, bagaimana memeriksa dengan computer sebelum di install ke smartphone Android

Peneliti Check Point menemukan sistem Android 6 akan menjadi masalah bila penguna tidak mengetahui adanya permintaan dari aplikasi. Di Android 6 Marshmallow, Google menambahkan ijin dari Permission SYSTEM_ALERT_WINDOW. Atau ada yang mencuri foto anda diam diam dengan SonicSpy di aplikasi Hulk Messenger, Troy Chat dan Soniac

Periksa perangkat sudah tersedia via online web Bullguard. Bukan computer atau smartphone disusup CCTV, terakhir Router. Banyak perangkat mengunakan password Default. Serangan di Windows dan Android. Hajime bot IOT tidak diketahui apa tujuannya, infeksi 300 ribu perangkat



Malware di Keygen sudah sering terdengar, tapi baru beberapa minggu ini mulai lebih gencar karena ada target yang di incar penjahat. Menurut TrendMicro, Malware Keygen mulai disebarkan untuk kalangan profesional yang bekerja di berbagai industri.




No popular articles found.