退出长者模式
病毒预报 第七百六十四期
发布日期:2019-03-11

国家计算机病毒应急处理中心通过对互联网的监测发现一个名为BCMUPnP_Hunter的僵尸网络,该僵尸网络感染数量较大,每个扫描波次中活跃的IP地址为10万左右,目前怀疑攻击者的意图主要和发送垃圾邮件有关。

BCMUPnP_Hunter有以下特点:一是感染目标单一,感染对象主要是以BroadCom UpnP网络架构为基础的路由器设备;二是自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端为跳板,代理访问互联网;三是该代理网络目前主要访问Outlook,Hotmail,Yahoo! Mail 等知名邮件服务器。

2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。2017年4月 DefenseCode正式披露了这个漏洞的细节信息,2018年9月检测到针对TCP 5431 端口的扫描异常,在对基础数据回溯后,发现该扫描特征最早可回溯于 2018年1月。2018年10月定位扫描源头,并捕获投递样本。

该僵尸网络的样本由两个部分组成:shellcode和bot主体, shellcode主要功能为从C2(109.248.9.17:8738,位于俄罗斯)下载主样本并执行。样本主体的功能包括 Broadcom UPnP 漏洞探测和代理访问网络功能,能够解析来自C2的4种指令码。在这个案例中,攻击者在滥用这些服务器的电子邮件服务且正在利用BCMUPnP_Hunter建立的代理网络发送垃圾邮件。

虽然目前该僵尸网络的危害主要以垃圾邮件为主,但不排除攻击者将来在垃圾邮件中夹带挖矿木马、勒索病毒等威胁。


 

主办单位:常州市公安局

地址:江苏省常州市龙锦路1588号

电话:0519-86620200   网站地图

技术支持电话:0519-85685023(工作日9:00-17:00)

网站支持IPV6   推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器

苏公网安备32041102000483号

  网站标识码:3204000065

苏ICP备05003616号