BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。

窃听风云: 你的MikroTik路由器正在被监听

背景介绍 MikroTik是一家拉脱维亚公司,成立于1996年,致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年,MikroTik创建了RouterOS软件系统,在2002年,MikroTik决定制造自己的硬件并创建了RouterBOARD品牌,每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用,其中包括Winbox任意目录文件读取(CVE-2018-14847)和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序,Webfig是一个Web应用程序,两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上,TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统,我们观察到恶意软件正在利用MikroTik