Zero
Una nuova botnet composta di circa 100.000 unità router di casa ha silenziosamente cresciuto negli ultimi due mesi. Secondo le evidenze attuali, la botnet operatori sembrano utilizzare infetto router per la connessione a servizi di webmail e sono più probabile l’invio di email di massa campagne di spam.
Avvistato questo mese di settembre dai Netlab team Qihoo 360, la botnet è stata sfruttando un noto cinque-anno-vecchio vulnerabilità di diffondere.
La vulnerabilità è stata scoperta nel 2013, i ricercatori di sicurezza di DefenseCode e risiede nella Broadcom UPnP SDK, un pezzo di software che è stato incorporato in migliaia di modelli di router da più fornitori.
La vulnerabilità consente a un utente malintenzionato di eseguire codice dannoso in un remoto vulnerabili router senza bisogno di autenticazione, ed è il peggiore tipo di vulnerabilità che esiste nel mondo di dispositivi connessi a Internet.
Diversi botnet hanno abusato di questo difetto in passato, ma Netlab ha soprannominato questo ultimo botnet BCMUPnP_Hunter. Il nome deriva da una botnet costante scansioni per i router con esposti UPnP interfacce (porta 5431).
Negli ultimi due mesi, i ricercatori Cinesi affermano di aver visto BCMUPnP_Hunter scansioni provenienti da più di 3,37 milioni IPs, ma il numero giornaliero di dispositivi attivi è di solito a circa 100.000. Le vittime sono distribuite abbastanza uniformemente in tutto il mondo, ma la più grande concentrazione di infetti router sono in India, in Cina, e stati UNITI.
Immagine: Qihoo 360 Netlab
Ma mettendo da parte le sue notevoli dimensioni, questa nuova botnet è anche diverso dalla stragrande maggioranza delle IoT botnet che sono attualmente attivi oggi. Oggi la maggior parte dei botnet si basano su un codice sorgente che è trapelato online, ma in quanto a questo, BCMUPnP_Hunter è totalmente nuova bestia.
“Non abbiamo trovato un codice simile utilizzando i motori di ricerca,” ha detto Hui Wang, uno dei due Netlab ricercatori, che hanno analizzato la botnet di origine.
“Sembra che l’autore ha profonde competenze e non è un tipico script kid,” Hui aggiunto. In un rapporto tecnico pubblicato oggi, il ricercatore, inoltre, va ad evidenziare la botnet complesso multi-stadio di infezione meccanismo, che è qualcosa di unico, rispetto alle minacce.
Secondo Hui, una volta BCMUPnP_Hunter finiture questo multi-fase di processo di infezione e guadagna un punto d’appoggio su un vulnerabili dispositivo, la usa a caccia di altri router vulnerabili. Ma lui dice che la botnet nasconde anche una funzione secondaria. Questa funzione secondaria permette la botnet per uso infettato il router come proxy nodi e connessioni di inoltro da parte della botnet operatori di ip remoto.
Al momento della scrittura, Hui ha detto che tutti gli ip Netlab ha osservato BCMUPnP_Hunter di collegamento sono gli indirizzi IP di proprietà di servizi di posta come Yahoo, Outlook e Hotmail.
Immagine: Qihoo 360 Netlab
Perché tutte le connessioni sono state effettuate tramite la porta TCP 25 (assegnato a Simple Mail Transfer Protocol [SMTP]), i ricercatori sono fiduciosi che la botnet pastori sono segretamente l’invio di spam onde da dietro la botnet mantello di sempre mutevole proxy (infetti router).
Per quello che vale, BCMUPnP_Hunter non è la prima IoT botnet di operare come un proxy di rete (botnet basata sulla UPnProxy tecnica sono noti per fare lo stesso), né come spam-servizio di invio (vedere ProxyM botnet).
Storie correlate:
Due le botnet sono in lotta per il controllo di migliaia di non protetta dispositivi Android
Gli hacker sono sempre più distruggendo i registri per nascondere gli attacchi diCisco zero-day sfruttata per crash e ricaricare dispositiviSatori botnet autore in carcere di nuovo dopo la rottura pretrial le condizioni per il rilasciodi Nuove DDoS botnet va dopo Hadoop enterprise server diHacker domanda di bitcoin da PGA in ransomware attacco, dice il report di CNETAvanzate di attacchi DDoS, in crescita del 16% rispetto allo scorso anno TechRepublicRicercatori hanno trovato che Stuxnet, Mirai, WannaCry in agguato in industrial drive USB
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0