Nul
Een nieuw botnet gemaakt van ongeveer 100.000 thuis routers heeft stil gegroeid in de afgelopen twee maanden. Volgens de huidige gegevens, de botnet-exploitanten lijken te gebruik maken van de geïnfecteerde routers om verbinding te maken met webmail-diensten en zijn het meest waarschijnlijk met het versturen van massale spam-e-mail campagnes.
Voor het eerst gespot in September van dit jaar door het Netlab team op Qihoo 360, de botnet is het exploiteren van een bekende vijf-jaar-oude kwetsbaarheid te verspreiden.
De kwetsbaarheid werd ontdekt in 2013 door security-onderzoekers van DefenseCode en bevindt zich in de Broadcom UPnP SDK, een stukje software dat is ingebed in de duizenden router modellen van verschillende leveranciers.
De kwetsbaarheid kan een aanvaller kwaadaardige code wordt uitgevoerd op een externe kwetsbare router zonder te verifiëren, en het is de ergste vorm van kwetsbaarheid die er bestaat in de wereld van Internet-connected apparaten.
Verschillende botnets misbruikt door deze fout in het verleden, maar Netlab heeft de bijnaam dit laatste botnet BCMUPnP_Hunter. De naam komt van het botnet constante scans voor routers met zichtbare UPnP-interfaces (poort 5431).
Over de laatste twee maanden, de Chinese onderzoekers zeggen dat ze hebben gezien BCMUPnP_Hunter scans afkomstig uit meer dan 3.37 miljoen ip-adressen, maar het aantal dagelijks actieve apparaten is meestal rond de 100.000. Slachtoffers verspreid zijn vrij gelijkmatig over de hele wereld, maar de grootste concentratie van geïnfecteerde routers zijn in India, China en de VS.
Afbeelding: Qihoo 360 Netlab
Maar afgezien van de aanzienlijke grootte, deze nieuwe botnet is ook verschillend van de overgrote meerderheid van de IoT botnets die op dit moment actief zijn vandaag de dag. De meeste van de huidige botnets vertrouwen in de bron-code die is uitgelekt online, maar in betrekking tot deze, BCMUPnP_Hunter is een totaal nieuw beest.
“We vonden het niet vinden van een soortgelijke code met behulp van zoekmachines,” zei Hui Wang, een van de twee Netlab onderzoekers die een analyse van het botnet van de bron.
“Het lijkt erop dat de auteur heeft diepgaande vaardigheden en is niet een typische script kind,” Hui toegevoegd. In een technisch rapport dat vandaag is gepubliceerd, heeft de onderzoeker gaat ook op voor het markeren van de botnet ‘ s van complexe multi-fase infectie mechanisme, dat is iets dat uniek is ten opzichte van de bestaande bedreigingen.
Volgens Hui, zodra BCMUPnP_Hunter eindigt deze multi-stage infectie proces en krijgt een voet aan de grond op een kwetsbaar apparaat gebruikt om te jagen voor andere kwetsbare routers. Maar hij zegt dat het botnet verbergt ook een secundaire functie. Deze secundaire functie kunt u het botnet te gebruiken besmet de routers als proxy knooppunten en de relais aansluitingen van de botnet-exploitanten naar de externe ip-adressen.
Op het moment van schrijven, Hui zei dat alle IPs-Netlab heeft waargenomen BCMUPnP_Hunter aansluiten op zijn IP-adressen die eigendom zijn van webmail services zoals Yahoo, Outlook en Hotmail.
Afbeelding: Qihoo 360 Netlab
Omdat alle verbindingen zijn gemaakt via TCP-poort 25 (toegewezen aan het Simple Mail Transfer Protocol (SMTP -]), de onderzoekers zijn er vertrouwen in dat het botnet herders zijn in het geheim het versturen van spam golven van achter het botnet van de mantel van de steeds veranderende proxy ‘ s (besmette routers).
Voor wat het waard is, BCMUPnP_Hunter is niet de eerste IoT botnet om te opereren als een proxy-netwerk (botnets gebaseerd op de UPnProxy techniek zijn bekend om hetzelfde te doen), noch als een spam versturen van dienst (zie ProxyM botnet).
Verwante artikelen:
Twee botnets aan het vechten zijn en de controle van duizenden onbeveiligde Android-apparaten
Hackers zijn steeds het vernietigen van logs te verbergen aanvallenCisco zero-day in het wild misbruik te crashen en laden van apparatenSatori botnet auteur in de gevangenis weer na het breken van voorhechtenis release voorwaardenNieuwe DDoS-botnet gaat na Hadoop enterprise-serversHackers vraag naar bitcoin vanuit de PGA in ransomware aanvallen, zegt rapport CNETGeavanceerde DDoS-aanvallen een stijging van 16% ten opzichte van vorig jaar TechRepublicOnderzoekers vinden Stuxnet, Mirai, WannaCry op de loer in de industriële USB-drives
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0