当前位置: 钱柜娱乐 > 技术支持 > 病毒预警
病毒预报 第七百六十四期
时间:2018-11-15
    国家计算机病毒应急处理中心通过对互联网的监测发现一个名为BCMUPnP_Hunter的僵尸网络,该僵尸网络感染数量较大,每个扫描波次中活跃的IP地址为10万左右,目前怀疑攻击者的意图主要和发送垃圾邮件有关。

BCMUPnP_Hunter有以下特点:一是感染目标单一,感染对象主要是以BroadCom UpnP网络架构为基础的路由器设备;二是自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用 bot端为跳板,代理访问互联网;三是该代理网络目前主要访问OutlookHotmailYahoo! Mail 等知名邮件服务器。

201310 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。20174 DefenseCode正式披露了这个漏洞的细节信息,20189月检测到针对TCP 5431 端口的扫描异常,在对基础数据回溯后,发现该扫描特征最早可回溯于 20181月。201810月定位扫描源头,并捕获投递样本。

该僵尸网络的样本由两个部分组成:shellcodebot主体, shellcode主要功能为从C2(109.248.9.17:8738,位于俄罗斯)下载主样本并执行。样本主体的功能包括 Broadcom UPnP 漏洞探测和代理访问网络功能,能够解析来自C24种指令码。在这个案例中,攻击者在滥用这些服务器的电子邮件服务且正在利用BCMUPnP_Hunter建立的代理网络发送垃圾邮件。

虽然目前该僵尸网络的危害主要以垃圾邮件为主,但不排除攻击者将来在垃圾邮件中夹带挖矿木马、勒索病毒等威胁。



联系方式: 
国家计算机病毒应急处理中心 
计算机病毒防治产品检验中心