近期发现一个名为BCMUPnP_Hunter的僵尸网络,该僵尸网络感染数量较大,每个扫描波次中活跃的IP地址为10万左右,目前怀疑攻击者的意图主要和发送垃圾邮件有关。
BCMUPnP_Hunter有以下特点:一是感染目标单一,感染对象主要是以BroadCom UpnP网络架构为基础的路由器设备;二是自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端为跳板,代理访问互联网;三是该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器。
2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。2017年4月 DefenseCode正式披露了这个漏洞的细节信息,2018年9月检测到针对TCP 5431 端口的扫描异常,在对基础数据回溯后,发现该扫描特征最早可回溯于 2018年1月。2018年10月定位扫描源头,并捕获投递样本。
该僵尸网络的样本由两个部分组成:shellcode和bot主体, shellcode主要功能为从C2(109.248.9.17:8738,位于俄罗斯)下载主样本并执行。样本主体的功能包括 Broadcom UPnP 漏洞探测和代理访问网络功能,能够解析来自C2的4种指令码。在这个案例中,攻击者在滥用这些服务器的电子邮件服务且正在利用BCMUPnP_Hunter建立的代理网络发送垃圾邮件。
虽然目前该僵尸网络的危害主要以垃圾邮件为主,但不排除攻击者将来在垃圾邮件中夹带挖矿木马、勒索病毒等威胁。建议各位用户不要随意打开陌生邮件。