BCMUPnP_Hunter: ботнет на 100 000 узлов атакует маршрутизаторы для распространения спама

Konstant213

Пользователь
Сообщения
61
Реакции
69
Баллы
28
360Netlab заметил новый бот-сеть в сентябре 2018 года. Количество заражений в этой бот-сети чрезвычайно велико, а активный IP-адрес в каждой сканирующей волне составляет около 100 000. Мы назвали ботнет как BCMUPnP_Hunter, в основном, учитывая характеристики его цели заражения. Ботнет имеет следующие характеристики:

* Количество заражения чрезвычайно велико, а активный IP-адрес сканирования в каждой волне составляет около 100 000.

* Единственная цель заражения в основном основана на маршрутизаторе BroadCom UPnP.

* Съемка с образцом сложна, и для успешного захвата необходимо моделировать несколько сред устройства в высокопоточном honeypot.

* Самостоятельная прокси-сеть (tcp-proxy), прокси-сеть реализуется злоумышленником, а бот может использоваться в качестве трамплина для доступа к прокси в Интернете.

* Прокси-сеть в настоящее время в основном обращается к известным почтовым серверам, таким как Outlook, Hotmail, Yahoo! Mail и т. Д. Мы очень подозреваем, что намерение злоумышленника в основном связано с отправкой спама.

Оценка масштабов
Тенденция сканирования IP источника для порта 5431 за последние 30 дней выглядит следующим образом:
2.png
Видно, что сканирование не является непрерывным, но представляет собой волну каждые 1-3 дня. Активный IP-адрес сканирования в одной волне составляет около 100 000, и мы измеряем размер бот-сети на основе этих данных.

В истории накоплено 3,37 миллиона источников сканирования. Хотя это число огромно, это может не означать, что уже существует так много зараженных устройств, и может быть, что IP-адрес одного и того же зараженного устройства со временем изменился.

Количество потенциальных инфекций превышает 420 000 человек. Это в основном основано на исходном ip-источнике сканирования на веб-сервере в баннере: Сервер: Пользовательский / 1.0 UPnP / 1.0 Proc / Ver оценивается по результатам поиска shodan.

Сканирование источника IP-географического распределения за последние 7 дней:
3.png
Информация о зараженных устройствах
Через обнаружение источника атаки получают 116 зараженную информацию об устройстве, а
тип зараженного устройства не ограничивается этим:

ADB Broadband SpA, HomeStation ADSL Router
ADB Broadband, ADB ADSL Router
ADBB, ADB ADSL Router
ALSiTEC, Broadcom ADSL Router
ASB, ADSL-маршрутизатор
ASB, ChinaNet EPON Router
ASB, ChinaTelecom E8C (EPON) Gateway
Actiontec, Actiontec GT784WN
Actiontec, Verizon ADSL Router
BEC Technologies Inc., Broadcom ADSL Router
Лучший IT World India Pvt. Ltd., 150M Wireless-N ADSL2 + Router
Лучший IT World India Pvt. ООО, iB-WRA300N
Billion Electric Co., Ltd., ADSL2 + Firewall Router
Billion Electric Co., Ltd., BiPAC 7800NXL
Миллиард, BiPAC 7700N
Billion, BiPAC 7700N R2
Binatone Telecommunication, Broadcom LAN Router
Broadcom, ADSL-маршрутизатор
Broadcom, ADSL2 + 11n WiFi CPE
Broadcom, Broadcom Router
Broadcom, Broadcom ADSL Router
Broadcom, D-Link DSL-2640B
Broadcom, D-link ADSL-маршрутизатор
Broadcom, DLink ADSL Router
ClearAccess, Broadcom ADSL Router
Comtrend, AR-5383n
Comtrend, Broadcom ADSL Router
Comtrend, однопроцессорный ADSL-маршрутизатор Comtrend
D-Link Corporation., D-Link DSL-2640B
D-Link Corporation., D-Link DSL-2641B
D-Link Corporation., D-Link DSL-2740B
D-Link Corporation., D-Link DSL-2750B
D-Link Corporation., D-LinkDSL-2640B
D-Link Corporation., D-LinkDSL-2641B
D-Link Corporation., D-LinkDSL-2741B
D-Link Corporation., DSL-2640B
D-Link, ADSL 4 * FE 11n Router
D-Link, D-Link ADSL Router
D-Link, D-Link DSL-2640U
D-Link, D-Link DSL-2730B
D-Link, D-Link DSL-2730U
D-Link, D-Link DSL-2750B
D-Link, D-Link DSL-2750U
D-Link, D-Link DSL-6751
D-Link, D-Link DSL2750U
D-Link, D-Link Router
D-Link, D-link ADSL-маршрутизатор
D-Link, DVA-G3672B-LTT Networks ADSL-маршрутизатор
DARE, Dare router
DLink, D-Link DSL-2730B
DLink, D-Link VDSL Router
DLink, DLink ADSL Router
DQ Technology, Inc., ADSL2 + 11n WiFi CPE
DQ Technology, Inc., Broadcom ADSL Router
DSL, ADSL-маршрутизатор
DareGlobal, D-Link ADSL Router
Digicom SpA, беспроводной модем / маршрутизатор ADSL
Digicom SpA, RAW300C-T03
Dlink, D-Link DSL-225
Eltex, Broadcom ADSL Router
FiberHome, Broadcom ADSL Router
GWD, ChinaTelecom E8C (EPON) Gateway
Genew, Broadcom ADSL Router
INTEX, W150D
INTEX, W300D
INTEX, Wireless N 150 ADSL2 + модемный маршрутизатор
INTEX, Wireless N 300 ADSL2 + Modem Router
ITI Ltd., ITI Ltd.ADSL2Plus Модем / Маршрутизатор
Inteno, Broadcom ADSL Router
Intercross, Broadcom ADSL Router
IskraTEL, Broadcom ADSL Router
Kasda, Broadcom ADSL Router
Link-One, модем Roteador Wireless N ADSL2 + 150 Мбит / с
Linksys, Cisco X1000
Linksys, Cisco X3500
NB, DSL-2740B
NetComm Wireless Limited, беспроводной маршрутизатор NetComm ADSL2 +
NetComm, NetComm ADSL2 + беспроводной маршрутизатор
NetComm, NetComm WiFi Data и VoIP Gateway
OPTICOM, DSLink 279
Opticom, DSLink 485
Оркон, Гений
QTECH, QTECH
Raisecom, Broadcom ADSL Router
Ramptel, маршрутизатор ADSL Wireless-N со скоростью 300 Мбит / с
Маршрутизатор, ADSL2 + Router
SCTY, TYKH PON Router
Star-Net, Broadcom ADSL Router
Starbridge Networks, Broadcom ADSL Router
TP-LINK Technologies Co., Ltd, 300 Мбит / с Wireless N ADSL2 + Modem Router
TP-LINK Technologies Co., Ltd, 300 Мбит / с Wireless N USB ADSL2 + Modem Router
TP-LINK, TP-LINK Беспроводной ADSL2 + модемный маршрутизатор
TP-LINK, беспроводной маршрутизатор ADSL2 + TP-LINK
Technicolor, CenturyLink TR-064 v4.0
Tenda, Tenda ADSL2 + WIFI MODEM
Tenda, Tenda ADSL2 + WIFI Router
Tenda, Tenda Gateway
Tenda / Imex, ADSL2 + WIFI-MODEM с USB-портом 3G / 4G
Tenda / Imex, ADSL2 + WIFI-MODEM с поддержкой EVO
UTStarcom Inc., UTStarcom ADSL2 + Modem Router
UTStarcom Inc., UTStarcom ADSL2 + Модем / Беспроводной маршрутизатор
Уникальные решения, WLAN N300 ADSL2 + Modem Router
ZTE, Broadcom ADSL Router
ZTE, ONU Router
ZYXEL, ZyXEL VDSL Router
Zhone, Broadcom ADSL Router
Zhone, беспроводной шлюз Zhone
Zoom, Zoom Adsl Модем / Маршрутизатор
ZyXEL, CenturyLink UPnP v1.0
ZyXEL, P-660HN-51
ZyXEL, ZyXEL xDSL Router
huaqin, HGU210 v3 Router
iBall Baton, iBall Baton 150M Wireless-N ADSL2 + Router
iiNet Limited, BudiiLite
iiNet, BoB2
iiNet, BoBLite

Процесс передачи и захват
Для каждого произвольно созданного целевого IP-адреса Bot сначала обнаруживает открытость его TCP 5431-порта. Если он открыт, эта уязвимость дополнительно используется через потенциально заражаемый URL-адрес (доступ к порту UDP-1900 для этого URL-адреса). IP-адрес, передающий проверку зонда, будет передан загрузчику (109.248.9.17:4369), а последующие эксплойты и вредоносные образцы будут завершены загрузчиком.

Краткая временная диаграмма процесса атаки следующая:
4-1.png
В дополнение к необходимым взаимодействиям, описанным выше, сам эксплоит требует многоступенчатого взаимодействия для успеха.

Но для разработчиков высокопривлекательных приманок каждое взаимодействие - это тест. Только правильный ответ на каждый запрос может успешно обмануть поставщика, чтобы доставить окончательный образец. С этой целью мы модифицировали различные приманки, чтобы полностью имитировать зараженные устройства, обмануть поставщиков и, наконец, завершить анализ ботнета.

Анализ образцов
Образец ботнета состоит из двух частей: шелл-кода и тела бота, которые описаны ниже.

Shellcode
Основная функция shellcode - загрузить основной образец из c2 (109.248.9.17:8738) и выполнить его.

Шелковый код имеет длину 432 байта и является опрятной спецификацией, которая не может быть получена из обычных поисковых систем. В то же время совершенно понятны следующие моменты.
* Основные возможности: код имеет многократные вызовы syscall для сетей, процессов, файлов и т. Д.
* Информация о кодах: Использование syscall 0x40404 (вместо syscall 0) и нескольких операций инверсии, избегая плохих символов (\ x00); переменные стека в коде также используются в разной степени для оптимизации структуры стека во время выполнения.
* Кодовая логика. Используя правила циклирования, множество неудачных вызовов разумно обходят, обеспечивая эффективность выполнения шеллкода.

Образец темы
Основные особенности тела включают обнаружение уязвимости Broadcom UPnP и возможности доступа к прокси-серверу, которые могут анализировать четыре кода команд из C2:
X.jpg
0x01010101 - включить командный код задачи сканирования порта, после того, как конец BOT сканирует потенциальную цель заражения, целевой IP-пакет будет сообщен загрузчику, а затем загрузчик завершит последующий процесс заражения.

0x03030303 - код инструкции прокси-сервиса. Сторона BOT обращается к адресу, указанному в инструкции, и сообщает о результате доступа к хосту.

Среди этих инструкций 0x03030303 может генерировать реальные экономические выгоды, и злоумышленник может использовать эту команду для создания прокси-сети, а затем получать прибыль от отправки спама, имитации кликов и т. Д. Другие инструкции могут использоваться только для заражения и расширения размера ботнета без реальных экономических выгод.

Прокси-сеть и спам
Чтобы прояснить намерение атакующего атаковать, мы продолжаем отслеживать команду 0x03030303, выпущенную злоумышленником, с помощью ряда технических средств.

В инструкциях, которые мы получили, BCMUPnP_Hunter используется для прокси-трафика на следующие серверы:

104.47.0.33:25
104.47.12.33:25
104.47.124.33:25
104.47.14.33:25
104.47.33.33:25
104.47.48.33:25
104.47.50.33:25
106.10.248.84:25
144.160.159.21:25
188.125.73.87:25
67.195.229.59:25
74.6.137.63:25
74.6.137.64:25
98.137.159.28:25

Наши базовые данные дают более подробное объяснение этим серверам:
5.png
Эти серверы являются известными поставщиками почтовых услуг, включая Outlook, Hotmail, Yahoo! Почта. В течение нескольких месяцев эти серверы предоставляли и предоставляли только службы TCP25. В этом случае в основном считается, что злоумышленник злоупотребляет почтовой службой этих серверов.
Это делает нас крайне скептическими, что злоумышленник использует прокси-сеть, установленную BCMUPnP_Hunter для отправки спама.
источник: BCMUPnP_Hunter: 100,000-node botnet is abusing routers for spam | 360 Total Security Blog
 
Сверху Снизу