阅读内容
热门资料
 
阅读内容

病毒预报

[日期:2018年11月28日  来源:   作者:  阅读量:]

国家计算机病毒应急响应中心通过监控互联网发现了一个名为BCMUPnP_Hunter的僵尸网络。僵尸网络有大量的感染。每个扫描波中的活动IP地址大约为100,000。怀疑攻击者的意图主要是与发送垃圾邮件有关。

BCMUPnP_Hunter具有以下特征:首先,感染目标是单一的,被感染对象主要是基于BroadCom UpnP网络架构的路由器设备;第二种是自建代理网络(tcp-proxy),代理网络由攻击者实施,机器人可以使用。最后是跳板,代理访问互联网;第三是代理网络目前主要访问着名的邮件服务器,如Outlook,Hotmail,Yahoo!邮件。

2013年10月,DefenseCode安全研究人员发现Broadcom UPnP实施中存在重大安全漏洞。考虑到漏洞的严重性,他们没有立即披露他们的调查结果。 2017年4月,DefenseCode正式披露了此漏洞的详细信息。在2018年9月,它检测到TCP 5431端口的扫描例外。在回溯基本数据后,它发现扫描特征可以追溯到2018年1月。扫描源位于2018年10月,并且捕获了交付样本。

僵尸网络样本由两部分组成:shellcode和bot body。 shellcode的主要功能是下载主样本并从C2(位于俄罗斯的109.248.9.17: 8738)执行。示例主体功能包括Broadcom UPnP漏洞检测和代理访问网络功能,这些功能能够从C2解析四个脚本。在这种情况下,攻击者滥用这些服务器的电子邮件服务,并使用BCMUPnP_Hunter建立的代理网络发送垃圾邮件。

虽然僵尸网络的危害主要是基于垃圾邮件,但并不排除攻击者会携带威胁,例如在垃圾邮件中挖掘特洛伊木马和勒索软件。

上一篇:病毒预报
下一篇:病毒预报