Botnet

BCMUPnP_Hunter:疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大,每个扫描波次中活跃的IP地址为10万左右,值得引起安全社区的警惕。 我们将该僵尸网络命名为 BCMUPnP_Hunter,主要是考虑基其感染目标特征。该僵尸网络有以下几个特点: * 感染量特别巨大,每个波次中活跃的扫描IP均在10万左右; * 感染目标单一,主要是以BroadCom UPnP为基础的路由器设备; * 样本捕获难度大,在高交互蜜罐中需模拟多处设备环境后才能成功捕获; * 自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端 为跳板,代理访问互联网; * 该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器,我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。 处理时间线 * 2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。 *
  • Hui Wang
    Hui Wang
11 min read