本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大，每个扫描波次中活跃的IP地址为10万左右，值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter，主要是考虑基其感染目标特征。该僵尸网络有以下几个特点： * 感染量特别巨大，每个波次中活跃的扫描IP均在10万左右； * 感染目标单一，主要是以BroadCom UPnP为基础的路由器设备； * 样本捕获难度大，在高交互蜜罐中需模拟多处设备环境后才能成功捕获； * 自建代理网络(tcp-proxy)，该代理网络由攻击者自行实现，可以利用 bot端 为跳板，代理访问互联网； * 该代理网络目前主要访问Outlook，Hotmail，Yahoo! Mail 等知名邮件服务器，我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。 处理时间线 * 2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性，并没有立即公开他们的发现。 *