Noll
En ny botnät som består av ungefär 100,000 hem routrar har tyst ökat under de senaste två månaderna. Enligt nuvarande bevis, botnät är operatörerna verkar använda den infekterade routrar för anslutning till webmail tjänster och är mest benägna att skicka ut massiva e-post spam-kampanjer.
Såg först i September av Netlab team på Qihoo 360, botnät har varit att utnyttja en välkänd fem år gamla sårbarhet för spridning.
Den sårbarhet upptäcktes i 2013 med säkerhet forskare från DefenseCode och är bosatt i Broadcom UPnP SDK, en programvara som är inbäddad i tusentals av router-modeller från flera leverantörer.
Sårbarheten möjliggör för angripare att köra skadlig kod på en avlägsen utsatta router utan att behöva autentisera, och det är värre typ av sårbarhet som finns i världen av Internet-anslutna enheter.
Flera botnät har missbrukat denna brist i det förflutna, men Netlab har smeknamnet denna senaste botnet BCMUPnP_Hunter. Namnet kommer från botnet är konstant söker efter routrar med synliga UPnP-gränssnitt (port 5431).
Under de senaste två månaderna, den Kinesiska forskare säger att de har sett BCMUPnP_Hunter skannar med ursprung från över 3.37 miljoner IPs, men antalet dagliga aktiva enheter har varit vanligtvis på runt 100 000. Offren är fördelade sig ganska jämnt över världen, men den största koncentrationen av infekterade routrar finns i Indien, Kina, och USA.
Bild: Qihoo 360 Netlab
Men bortsett från sin avsevärda storlek, denna nya botnät är också olika från den stora majoriteten av IoT-botnät som är aktiva idag. De flesta av dagens botnät förlita sig på källkoden som har läckt ut på nätet, men det gäller detta, BCMUPnP_Hunter är en helt ny odjuret.
“Vi kunde inte hitta liknande kod med hjälp av sökmotorer,” sade Hui Wang, en av de två Netlab forskare som analyserat botnet s källa.
“Det verkar som om författaren har djupgående kunskaper och är inte en typisk script kid,” Hui läggas till. I en teknisk rapport som publiceras idag, forskaren går också på att lyfta fram botnät komplexa multi-stage-infektion mekanism, vilket är något unikt i förhållande till befintliga hot.
Enligt Hui, när BCMUPnP_Hunter avslutar denna multi-stage-infektion processen och får fotfäste på en sårbar enhet, använder den för att jaga för andra utsatta routrar. Men han säger botnät döljer också en sekundär funktion. Denna sekundära funktion tillåter botnet för att använda infekterade routrar som proxy-noder och relä anslutningar från botnet aktörer till fjärr-ip-adresser.
I skrivande stund, Hui sade att alla IPs Netlab har observerats BCMUPnP_Hunter ansluter till IP-adresser som ägs av webmail tjänster som Yahoo, Outlook och Hotmail.
Bild: Qihoo 360 Netlab
Eftersom alla anslutningar sker via TCP-port 25 (tilldelat Simple Mail Transfer Protocol [SMTP]), forskare är övertygade om botnät renskötarna i hemlighet skicka spam vågor från bakom botnätet mantel av ständigt skiftande proxies (infekterade routrar).
För vad det är värt, BCMUPnP_Hunter är inte första IoT botnet för att fungera som en proxyserver för nätverket (botnät som bygger på UPnProxy teknik är kända för att göra samma sak) eller som en spam-utskick (se ProxyM botnet).
Relaterade artiklar:
Två botnät är kampen över kontrollen av tusentals utan säkerhet Android-enheter
Hackare är i allt större utsträckning förstör loggar för att dölja attackerCisco zero-day utnyttjas i det vilda för att krascha och ladda enheterSatori botnet författare i fängelse igen efter att bryta väntan på rättegång villkor för att släppaNya DDoS-botnät går efter Hadoop enterprise-servrarHackare efterfrågan bitcoin från PGA-i ransomware attack, säger rapporterar CNETAvancerat DDoS-attacker ökade med 16% från förra året TechRepublicForskare hitta Stuxnet, Mirai, WannaCry lurar i industriell USB-enheter
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0