Proxy - 360 Netlab Blog - Network Security Research Lab at 360

Proxy

A collection of 4 posts

BCMPUPnP_Hunter: A 100k Botnet Turns Home Routers to Email Spammers

This article was co-authored by Hui Wang and RootKiter. Since September 2018, 360Netlab Scanmon has detected multiple scan spikes on TCP port 5431, each time the system logged more than 100k scan sources, a pretty large number compared with most other botnets we have covered before. The interaction between the

BCMUPnP_Hunter：疑似10万节点级别的僵尸网络正在滥用家用路由器发送垃圾邮件

本文由 Hui Wang、RootKiter共同撰写 360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大，每个扫描波次中活跃的IP地址为10万左右，值得引起安全社区的警惕。我们将该僵尸网络命名为 BCMUPnP_Hunter，主要是考虑基其感染目标特征。该僵尸网络有以下几个特点： * 感染量特别巨大，每个波次中活跃的扫描IP均在10万左右； * 感染目标单一，主要是以BroadCom UPnP为基础的路由器设备； * 样本捕获难度大，在高交互蜜罐中需模拟多处设备环境后才能成功捕获； * 自建代理网络(tcp-proxy)，该代理网络由攻击者自行实现，可以利用 bot端为跳板，代理访问互联网； * 该代理网络目前主要访问Outlook，Hotmail，Yahoo! Mail 等知名邮件服务器，我们高度怀疑攻击者的意图主要是和发送垃圾邮件有关。处理时间线 * 2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性，并没有立即公开他们的发现。 *

窃听风云: 你的MikroTik路由器正在被监听

背景介绍 MikroTik是一家拉脱维亚公司，成立于1996年，致力于开发路由器和无线ISP系统。MikroTik现在为世界上大多数国家/地区的互联网连接提供硬件和软件。在1997年，MikroTik创建了RouterOS软件系统，在2002年，MikroTik决定制造自己的硬件并创建了RouterBOARD品牌，每个RouterBOARD设备都运行RouterOS软件系统。[1] 根据维基解密披露的CIA Vault7黑客工具Chimay Red涉及到2个漏洞利用，其中包括Winbox任意目录文件读取（CVE-2018-14847）和Webfig远程代码执行漏洞。[2] Winbox是一个Windows GUI应用程序，Webfig是一个Web应用程序，两者都是RouterOS一个组件并被设计为路由器管理系统。Winbox和Webfig与RouterOS的网络通信分别在TCP/8291端口上，TCP/80或TCP/8080等端口上。[3] [4] 通过360Netlab Anglerfish蜜罐系统，我们观察到恶意软件正在利用MikroTik CVE-2018-148

7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?

[Update] 2018-09-05 11:00 GMT+8, with the generous help from the AS64073, 103.193.137.211 has been promptly suspended and is no longer a threat. Overview MikroTik is a Latvian company founded in 1996 to develop routers and wireless ISP systems. MikroTik now provides hardware and software for