Botnet pretvorio 400.000 rutera u email spamere

Pretežno su u pitanju kućni ruteri, a aktivnost je zabeležena i u Srbiji!

Botnet pretvorio 400.000 rutera u email spamere

Novi BCMPUPnP_Hunter botnet pretežno napada rutere koji imaju omogućenu BroadCom UPnP funkciju.

Interakcija između botneta i potencijalne mete se odvija u više koraka, a sve počinje sa skeniranjem destinacije tcp porta 5431. Zatim napadači vrše proveru UDP porta 1900 i čekaju da žrtva pošalje odgovarajući ranjivi URL. Nakon dobijanja odgovarajućeg URL-a, napadačima je potrebno da izvrše još 4 razmene paketa kako bi shvatili gde se u memoriji nalazi početna adresa za shellcode izvršenje kako bi osmislili i poslali odgovarajući exploit payload.

Kada je uređaj kompromitovan, napadač implementira proxy mrežu (tcp-proxy) koja komunicira sa mail serverima (Outlook, Hotmail, Yahoo! Itd.), što je indikator da se botnet koristi za spam kampanje.

Iako je primećen još u septembru, istraživači su prvi uzorak uspeli da dobiju tek nakon mesec dana. Došli su do sledećih otkrića:

  1. Skeniranje se dešava svakih 1-3 dana. Broj aktivnih skeniranja IP adresa u svakom pojedinačnom događaju je oko 100.000.

  2. Ukupno je skenirano 3,37 miliona jedinstvenih izvornih IP adresa. Iako je broj prilično veliki, najverovatnije se radi o tome da su se IP adrese istih komromitovanih uređaja promenile tokom vremena.

  3. Shodan pretraga za Server: Custom/1.0 UPnP/1.0 Proc/Ver pokazuje da je broj infekcija prešao 400.000.

Što se geografske distribucije tiče, najveći broj zaraženih uređaja dolazi iz Italije, Tajlanda, SAD-a, Indije i Brazila.

Shodan-geografska distribucija

Slika 1. Geografska distribucija kompromitovanih rutera. Izvor: Shodan.

U Srbiji je Shodan zabeležio nešto ispod 300 rezultata.

Shodan-Srbija

Slika 2. Kompromitovani uređaji u Srbiji. Izvor: Shodan.

Eksperti su ispitali skenere i otkrili najmanje 116 različitih inficiranih uređaja. Uzorak malvera sadrži payload i shellcode koji je specijalno dizajniran za download glavnog uzorka sa C2(109.248.9.17:8738) i njegovo izvršenje. Shellcode je dobro osmišljen i napisan što ukazuje na to da se radi o veštom hakeru.

Glavni uzorak ima exploit za BroadCom UpnP ranjivost i modul za proxy pristup mreži. Može da raščlani 4 koda sa instrukcijama sa C2 servera, omogući skeniranje porta, traži potencijalno ranjivu metu, isprazni trenutni task i pristupi proxy mreži.

Botnet je najverovatnije napravljen kako bi se saobraćaj preusmeravao ka dobro poznatim mail servis provajderima. Veruje se da se proxy mreža, koja je napravljena pomoću botneta, koristi za spam kampanje (zato što se konekcije ostvaruju samo preko TCP porta 25).

Izvor: Security Affairs