一個新的僵尸網(wǎng)絡(luò)正大肆蔓延在路由設(shè)備之中，截至當前，已有數(shù)十萬個僵尸網(wǎng)絡(luò)端點得到了確認，并檢測到有大量的垃圾郵件發(fā)送行為。
據(jù)360Netlab telemetry公司稱，該僵尸網(wǎng)絡(luò)于今年9月首次出現(xiàn)，被稱為BCMUPnP_Hunter。它得名起因于它讓大量啟用了BroadCom通用即插即用(UPnP)功能的路由器得到了感染。BCMUPnP_Hunter利用的是該功能中的一個于2013年就被揭露的漏洞。
多層代理架構(gòu)
據(jù)研究人員稱，BCMUPnP_Hunter本質(zhì)上是一個自建的代理網(wǎng)絡(luò)，一開始看起來它的作用就是從網(wǎng)絡(luò)郵件源中推送垃圾郵件的，但這個惡意軟件寫得很好，可以看得出來作者有深厚的功底，完全不像那些腳本小子的拙劣作品。
自360Netlab telemetry公司利用蜜罐技術(shù)首次檢測到TCP端口5431上的多次掃描尖峰后，明顯就能看出感染鏈需要依賴于多個代理。僵尸網(wǎng)絡(luò)和潛在目標之間的交互需要多個步驟執(zhí)行：首先，它從TCP端口5431開始掃描，接著檢查目標的UDP端口1900，并等待目標發(fā)送易受攻擊的URL；在獲得正確的URL后，攻擊者需要交換另外四個數(shù)據(jù)包來確定代碼在內(nèi)存中的執(zhí)行起始地址，這樣就可以設(shè)計出正確的漏洞攻擊載荷并將其反饋給目標。
僵尸網(wǎng)絡(luò)的樣本由兩部分組成：shellcode和一個主要攻擊載荷，后者包括針對BroadCom UPnP漏洞的探針，以及一個代理訪問網(wǎng)絡(luò)模塊。
更細化地說，它會執(zhí)行命令和控制服務器（C2）的一系列命令。首先，探針掃描端口以查找潛在目標，如果找到則將目標IP報告給載入程序，然后載入程序會完成后續(xù)的感染過程。
對于代理服務，bot會訪問提供的地址并將訪問結(jié)果報告給C2。
研究人員說，
攻擊者可通過該命令建立一個代理網(wǎng)絡(luò)，然后從發(fā)送垃圾郵件、模擬點擊等行為中獲利，而TCP代理當前又是與一些知名的郵件服務器（如Outlook，Hotmail，Yahoo！ 等）相關(guān)，由此來看攻擊者的意圖昭然若揭。
BroadCom UPnP漏洞
BCMUPnP_Hunter僵尸網(wǎng)絡(luò)另一個值得注意的地方是，它利用的是一個已經(jīng)存在至少五年的漏洞。
UPnP是一組網(wǎng)絡(luò)協(xié)議，允許同一網(wǎng)絡(luò)上的不同設(shè)備（如個人計算機，打印機，互聯(lián)網(wǎng)網(wǎng)關(guān)，Wi-Fi接入點和移動設(shè)備）在彼此之間自動進行通信和信息共享。
數(shù)百家Broadcom制造商使用的UPnP芯片中，都存在一個遠程preauth格式字符串漏洞，利用該漏洞，可以將任意值寫入任意內(nèi)存地址，也可以遠程讀取路由器內(nèi)存。根據(jù)發(fā)現(xiàn)該缺陷的DefenseCode，未經(jīng)身份驗證的攻擊者可通過root權(quán)限執(zhí)行任意代碼。據(jù)DefenseCode稱，大多數(shù)型號都提供了補丁，但還有數(shù)百萬的路由器未打補丁。
不斷增長的威脅
周三公布的遙測數(shù)據(jù)顯示，就感染的規(guī)模來說，BCMUPnP_Hunter僵尸網(wǎng)絡(luò)正在迅速增長當中，它每隔一到三天就會對易受攻擊的路由器進行掃描。360Netlab發(fā)現(xiàn)受感染設(shè)備的唯一IP地址總數(shù)為337萬個。然而，這個數(shù)字很也可能包含了很多重復的地址——IP地址隨時間變化的設(shè)備的地址。
更現(xiàn)實的說法是，360Netlab公司觀察到的進行掃描的bots平均數(shù)量約為10萬個端點。但研究人員表示，根據(jù)Shodan的調(diào)查，潛在感染人數(shù)可能高達40萬。
仔細觀察掃描發(fā)現(xiàn)，116種不同類型的設(shè)備已被感染，包括ADB、Broadcom、D-Link、Digicom、Linksys/Cisco、NetComm、UTStarcom、ZyXEL等公司的路由器型號。
為了防止感染僵尸網(wǎng)絡(luò)，用戶應該更新路由器到最新的固件版本。