Nul
En ny botnet består af 100.000 hjemme-routere har tavst vokset i løbet af de seneste to måneder. Ifølge det foreliggende materiale, botnet-operatører, synes at bruge den inficerede routere til at oprette forbindelse til webmail-tjenester og er mest sandsynligt, at sende massive e-mail-spam-kampagner.
Først opdaget i September af Netlab team på Qihoo 360, botnet har været at udnytte en kendt fem år gammel sårbarhed til at sprede.
Sårbarheden blev opdaget i 2013 af sikkerhed forskere fra DefenseCode og bosat i Broadcom UPnP SDK, et stykke software, der var indlejret i tusindvis af router-modeller fra flere leverandører.
Sårbarheden gjorde det muligt for en hacker at afvikle skadelig kode på en ekstern sårbare router, uden at du behøver at godkende, og det er den værre slags sårbarhed, der findes i verden af Internet-tilsluttede enheder.
Flere botnets har misbrugt denne fejl i fortiden, men Netlab har kaldt denne seneste botnet BCMUPnP_Hunter. Navnet kommer fra botnet er konstant scanner for routere med udsatte UPnP-interface (port 5431).
I løbet af de sidste to måneder, den Kinesiske forskere siger, at de har set BCMUPnP_Hunter scanninger, der stammer fra over 3.37 millioner ip-adresser, men antallet af daglige aktivt udstyr, der har været normalt på omkring 100.000. Ofrene er spredt ud temmelig jævnt over hele kloden, men den største koncentration af inficerede routere er i Indien, Kina og USA.
Billede: Qihoo 360 Netlab
Men at afsætte sin betydelige størrelse, denne nye botnet er også forskellige fra det store flertal af IoT-botnet, der er aktive i dag. De fleste af nutidens botnets er afhængige af source code, som er blevet lækket på nettet, men i forhold til dette, BCMUPnP_Hunter er en helt ny bæst.
“Vi kunne ikke finde lignende kode ved hjælp af søgemaskiner,” sagde Wang Hui, en af de to Netlab forskere, der har analyseret botnet ‘ s kilde.
“Det ser ud til, at forfatteren har dybe kompetencer og er ikke en typisk script barn,” Hui tilføjet. I en teknisk rapport, der blev offentliggjort i dag, den forsker, der også går på at fremhæve botnet er komplekse multi-fase-infektion mekanisme, som er noget unikt i forhold til de eksisterende trusler.
Ifølge Hui, når BCMUPnP_Hunter slutter denne multi-fase-infektion proces og får fodfæste på en sårbar enhed, der bruger den til at gå på jagt efter andre sårbare routere. Men han siger, botnet-skjuler også en sekundær funktion. Denne sekundære funktion giver mulighed for at botnettet til at bruge inficerede routere som proxy noder og relay-forbindelser fra botnet ‘ s operatører til fjern-ip-adresser.
På tidspunktet for skrivning, Hui sagde, at alle IPs Netlab har observeret BCMUPnP_Hunter tilslutning til IP-adresser, der ejes af webmail-tjenester såsom Yahoo, Outlook og Hotmail.
Billede: Qihoo 360 Netlab
Fordi alle forbindelser blev foretaget via TCP-port 25 (tildelt til den Simple Mail Transfer Protocol [SMTP]), forskere er overbeviste om, botnet-hyrder er hemmeligt sende spam bølger fra bag botnettet sin kappe af stadigt skiftende fuldmagter (inficerede routere).
For hvad er det værd, BCMUPnP_Hunter er ikke første Ti botnet til at fungere som en proxy-netværk (botnets baseret på UPnProxy teknik er kendt for at gøre det samme) eller som en spam-afsendelse service (se ProxyM botnet).
Relaterede historier:
To botnets kæmper om kontrol af tusindvis af usikrede Android-enheder
Hackere er i stigende grad ødelægger logs til at skjule angrebCisco nul-dag udnyttes i naturen til at gå ned, og læg enhederSatori botnet forfatter i fængsel igen efter at bryde foreløbig løsladelse betingelserNye DDoS-botnet går efter Hadoop enterprise servereHackere efterspørgsel bitcoin fra PGA i ransomware angreb, siger rapporten CNETAvanceret DDoS-angreb op 16% fra sidste år TechRepublicForskere med at finde Stuxnet, Mirai, WannaCry lurer i industrielle USB-drev
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0