您当前所在位置:

首页
 > 警务资讯 > 警方提示 > 网络病毒监测

保护视力色:

2018年第22期网络病毒监测

来源:宁波市公安局      发布时间:2018-11-20      点击数:

  国家计算机病毒应急处理中心通过对互联网的监测发现一个名为BCMUPnP_Hunter的僵尸网络,该僵尸网络感染数量较大,每个扫描波次中活跃的IP地址为10万左右,目前怀疑攻击者的意图主要和发送垃圾邮件有关。

  BCMUPnP_Hunter有以下特点:一是感染目标单一,感染对象主要是以BroadComUpnP网络架构为基础的路由器设备;二是自建代理网络(tcp-proxy),该代理网络由攻击者自行实现,可以利用bot端为跳板,代理访问互联网;三是该代理网络目前主要访问Outlook,Hotmail,Yahoo!Mail等知名邮件服务器。

  2013年10月DefenseCode的安全研究人员发现BroadcomUPnP实现存在重大安全漏洞。考虑到漏洞的严重性,并没有立即公开他们的发现。2017年4月DefenseCode正式披露了这个漏洞的细节信息,2018年9月检测到针对TCP5431端口的扫描异常,在对基础数据回溯后,发现该扫描特征最早可回溯于2018年1月。2018年10月定位扫描源头,并捕获投递样本。

  该僵尸网络的样本由两个部分组成:shellcode和bot主体,shellcode主要功能为从C2(109.248.9.17:8738,位于俄罗斯)下载主样本并执行。样本主体的功能包括BroadcomUPnP漏洞探测和代理访问网络功能,能够解析来自C2的4种指令码。在这个案例中,攻击者在滥用这些服务器的电子邮件服务且正在利用BCMUPnP_Hunter建立的代理网络发送垃圾邮件。

  虽然目前该僵尸网络的危害主要以垃圾邮件为主,但不排除攻击者将来在垃圾邮件中夹带挖矿木马、勒索病毒等威胁。

Produced By 大汉网络 大汉版通发布系统