本文由 Hui Wang、RootKiter共同撰寫web
360Netlab在2018年9月注意到一個新的僵屍網絡。該僵屍網絡的感染數量特別巨大,每一個掃描波次中活躍的IP地址爲10萬左右,值得引發安全社區的警戒。shell
咱們將該僵屍網絡命名爲 BCMUPnP_Hunter,主要是考慮基其感染目標特徵。該僵屍網絡有如下幾個特色:安全
感染量特別巨大,每一個波次中活躍的掃描IP均在10萬左右;服務器
感染目標單一,主要是以BroadCom UPnP爲基礎的路由器設備;微信
樣本捕獲難度大,在高交互蜜罐中需模擬多處設備環境後才能成功捕獲;網絡
自建代理網絡(tcp-proxy),該代理網絡由攻擊者自行實現,能夠利用 bot端 爲跳板,代理訪問互聯網;less
該代理網絡目前主要訪問Outlook,Hotmail,Yahoo! Mail 等知名郵件服務器,咱們高度懷疑攻擊者的意圖主要是和發送垃圾郵件有關。tcp
處理時間線優化
2013年10月 DefenseCode的安全研究人員發現Broadcom UPnP 實現存在重大安全漏洞。考慮到漏洞的嚴重性,並無當即公開他們的發現。ui
2017年4月 DefenseCode正式披露了這個漏洞的細節信息
2018年9月 360Netlab ScanMon系統 檢測到針對TCP 5431 端口的掃描異常,在對基礎數據回溯後,發現該掃描特徵最先可回溯於 2018年1月。
2018年10月 定位掃描源頭,並捕獲投遞樣本。
規模評估
最近30天針對 端口5431 的掃描源IP趨勢以下:
可見掃描不是持續的,而是每隔1-3天構成一個波次。單個波次中活躍的掃描IP在10萬左右,咱們正是基於這個數據度量該僵屍網絡的規模;
歷史上累積看到的掃描源ip有337萬。這個數量雖然巨大,但也許並不意味着已經有這麼多設備已經被感染,而多是同一被感染設備設備IP隨時間變化致使。
潛在易感染數量超過42萬,這個主要是根據掃描源ip返回banner中的web server:Server: Custom/1.0 UPnP/1.0 Proc/Ver從shodan的搜索結果估計的。
最近7天掃描源IP地理位置分佈
被感染設備信息
經過對攻擊源的探測,獲得了116款被感染的設備信息,實際感染設備種類不限於此:
ADB Broadband S.p.A, HomeStation ADSL Router ADB Broadband, ADB ADSL Router ADBB, ADB ADSL Router ALSiTEC, Broadcom ADSL Router ASB, ADSL Router ASB, ChinaNet EPON Router ASB, ChinaTelecom E8C(EPON) Gateway Actiontec, Actiontec GT784WN Actiontec, Verizon ADSL Router BEC Technologies Inc., Broadcom ADSL Router Best IT World India Pvt. Ltd., 150M Wireless-N ADSL2+ Router Best IT World India Pvt. Ltd., iB-WRA300N Billion Electric Co., Ltd., ADSL2+ Firewall Router Billion Electric Co., Ltd., BiPAC 7800NXL Billion, BiPAC 7700N Billion, BiPAC 7700N R2 Binatone Telecommunication, Broadcom LAN Router Broadcom, ADSL Router Broadcom, ADSL2+ 11n WiFi CPE Broadcom, Broadcom Router Broadcom, Broadcom ADSL Router Broadcom, D-Link DSL-2640B Broadcom, D-link ADSL Router Broadcom, DLink ADSL Router ClearAccess, Broadcom ADSL Router Comtrend, AR-5383n Comtrend, Broadcom ADSL Router Comtrend, Comtrend single-chip ADSL router D-Link Corporation., D-Link DSL-2640B D-Link Corporation., D-Link DSL-2641B D-Link Corporation., D-Link DSL-2740B D-Link Corporation., D-Link DSL-2750B D-Link Corporation., D-LinkDSL-2640B D-Link Corporation., D-LinkDSL-2641B D-Link Corporation., D-LinkDSL-2741B D-Link Corporation., DSL-2640B D-Link, ADSL 4*FE 11n Router D-Link, D-Link ADSL Router D-Link, D-Link DSL-2640U D-Link, D-Link DSL-2730B D-Link, D-Link DSL-2730U D-Link, D-Link DSL-2750B D-Link, D-Link DSL-2750U D-Link, D-Link DSL-6751 D-Link, D-Link DSL2750U D-Link, D-Link Router D-Link, D-link ADSL Router D-Link, DVA-G3672B-LTT Networks ADSL Router DARE, Dare router DLink, D-Link DSL-2730B DLink, D-Link VDSL Router DLink, DLink ADSL Router DQ Technology, Inc., ADSL2+ 11n WiFi CPE DQ Technology, Inc., Broadcom ADSL Router DSL, ADSL Router DareGlobal, D-Link ADSL Router Digicom S.p.A., ADSL Wireless Modem/Router Digicom S.p.A., RAW300C-T03 Dlink, D-Link DSL-225 Eltex, Broadcom ADSL Router FiberHome, Broadcom ADSL Router GWD, ChinaTelecom E8C(EPON) Gateway Genew, Broadcom ADSL Router INTEX, W150D INTEX, W300D INTEX, Wireless N 150 ADSL2+ Modem Router INTEX, Wireless N 300 ADSL2+ Modem Router ITI Ltd., ITI Ltd.ADSL2Plus Modem/Router Inteno, Broadcom ADSL Router Intercross, Broadcom ADSL Router IskraTEL, Broadcom ADSL Router Kasda, Broadcom ADSL Router Link-One, Modem Roteador Wireless N ADSL2+ 150 Mbps Linksys, Cisco X1000 Linksys, Cisco X3500 NB, DSL-2740B NetComm Wireless Limited, NetComm ADSL2+ Wireless Router NetComm, NetComm ADSL2+ Wireless Router NetComm, NetComm WiFi Data and VoIP Gateway OPTICOM, DSLink 279 Opticom, DSLink 485 Orcon, Genius QTECH, QTECH Raisecom, Broadcom ADSL Router Ramptel, 300Mbps ADSL Wireless-N Router Router, ADSL2+ Router SCTY, TYKH PON Router Star-Net, Broadcom ADSL Router Starbridge Networks, Broadcom ADSL Router TP-LINK Technologies Co., Ltd, 300Mbps Wireless N ADSL2+ Modem Router TP-LINK Technologies Co., Ltd, 300Mbps Wireless N USB ADSL2+ Modem Router TP-LINK, TP-LINK Wireless ADSL2+ Modem Router TP-LINK, TP-LINK Wireless ADSL2+ Router Technicolor, CenturyLink TR-064 v4.0 Tenda, Tenda ADSL2+ WIFI MODEM Tenda, Tenda ADSL2+ WIFI Router Tenda, Tenda Gateway Tenda/Imex, ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT Tenda/Imex, ADSL2+ WIFI-MODEM WITH EVO SUPPORT UTStarcom Inc., UTStarcom ADSL2+ Modem Router UTStarcom Inc., UTStarcom ADSL2+ Modem/Wireless Router UniqueNet Solutions, WLAN N300 ADSL2+ Modem Router ZTE, Broadcom ADSL Router ZTE, ONU Router ZYXEL, ZyXEL VDSL Router Zhone, Broadcom ADSL Router Zhone, Zhone Wireless Gateway Zoom, Zoom Adsl Modem/Router ZyXEL, CenturyLink UPnP v1.0 ZyXEL, P-660HN-51 ZyXEL, ZyXEL xDSL Router huaqin, HGU210 v3 Router iBall Baton, iBall Baton 150M Wireless-N ADSL2+ Router iiNet Limited, BudiiLite iiNet, BoB2 iiNet, BoBLite
傳播過程及捕獲
對於每個隨機生成的 目標IP,Bot端會先探測其TCP 5431端口的開放狀況。若是開放,則經過潛在可感染url(訪問 UDP-1900端口 獲得這個url)進一步探測漏洞有效性。經過探測檢查的IP會統一彙報到Loader(109.248.9.17:4369),由Loader完成後續的漏洞利用和植入惡意樣本的過程。
攻擊過程的簡要時序圖以下:
圖1:BCMUPnP_Hunter感染過程
除上述必要的交互外,漏洞利用自己也須要通過多個步驟的交互,才能成功。
可是對於高交互蜜罐的開發人員來講,每一次交互都成了一次考驗。只有正確回答每一次請求,才能成功誘騙投遞者投遞最終樣本。爲此咱們修改了多種蜜罐,以便可以完整的模擬受感染設備,欺騙投遞者,最終完成對該僵屍網絡的分析。
樣本部分
該僵屍網絡的樣本由兩個部分組成,shellcode和bot主體,下面分別描述其功能。
shellcode
shellcode主要功能,從c2(109.248.9.17:8738)下載主樣本並執行。
該shellcode全長432字節,工整規範,沒法從常見搜索引擎中檢索到。同時又完美的實現瞭如下幾點,可見做者功力深厚,並不是通常的腳本小子所爲:
基礎能力方面:代碼出現了多處網絡、進程、文件等syscall調用;
代碼細節方面:利用 syscall 0x40404(替代 syscall 0)和屢次取反操做,進而避免了壞字符(\x00);代碼中棧變量也出現了不一樣程度的複用,以優化運行時的棧結構;
代碼邏輯方面:經過使用循環節,合理規避了多種失敗調用的狀況,保證了shellcode執行的有效性。
其完整流程圖以下,對shellcode感興趣的讀者能夠自行閱讀:
圖2:Shellcode流程圖
樣本主體
樣本主體的功能包括 Broadcom UPnP 漏洞探測和代理訪問網絡功能,可以解析來自C2的4種指令碼:
指令碼 包長 功能 0x00000000 0x18 首包,有服務假裝的效果,無實際意義 0x01010101 0x4c 搜尋潛在感染目標任務 0x02020202 0x08 當前任務清空 0x03030303 0x108 訪問代理網絡任務
0x01010101 爲開啓端口掃描任務的指令碼,BOT端一旦掃描到潛在感染目標,便會將目標IP 封包後上報 Loader,隨後Loader會完成後續感染流程。
0x03030303 爲代理服務指令碼,BOT端會訪問指令中提供的地址,並將訪問結果彙報給主控端。
這些指令中,0x03030303 是能夠產生實際經濟利益的,攻擊者能夠利用這條指令構建代理網絡,進而經過發送垃圾郵件、模擬點擊等等活動牟利。其餘的指令只能用於感染和擴張僵屍網絡的規模,並不會產生實際的經濟效益。
代理網絡和垃圾郵件
爲了釐清攻擊者的攻擊意圖,咱們經過一系列技術手段繼續跟蹤攻擊者發出的0x03030303 指令。
在咱們已經獲得的指令中,BCMUPnP_Hunter被用於代理如下服務器的流量:
104.47.0.33:25 104.47.12.33:25 104.47.124.33:25 104.47.14.33:25 104.47.33.33:25 104.47.48.33:25 104.47.50.33:25 106.10.248.84:25 144.160.159.21:25 188.125.73.87:25 67.195.229.59:25 74.6.137.63:25 74.6.137.64:25 98.137.159.28:25
咱們的基礎數據對這些服務器提供了更加詳細的刻畫:
能夠看出:
這些服務器均屬於知名郵件服務提供商,包括Outlook,Hotmail,Yahoo! Mail;
幾個月以來,這些服務器均提供且僅提供了TCP25的服務;
在這個案例中,基本能夠認爲攻擊者在濫用這些服務器的電子郵件服務
這讓咱們高度懷疑,攻擊者正在利用BCMUPnP_Hunter創建的代理網絡發送垃圾郵件。
聯繫咱們
感興趣的讀者,能夠在 twitter 或者在微信公衆號 360Netlab 上聯繫咱們,或者向咱們發送電子郵件 netlab@360.cn。
爲避免濫用,咱們不會公佈受害者 IP 列表。相關安全和執法機構,能夠郵件聯繫netlab[at]360.cn獲取被感染的IP地址列表。
附錄:關於 BroadCom UPnP 漏洞
UPnP是Universal Plug and Play的縮寫,即通用即插即用協議。該協議的目標是使家庭網絡(數據共享、通訊和娛樂)和公司網絡中的各類設備可以相互無縫鏈接,並簡化相關網絡的實現[1]。BroadCom UPnP是BroadCom公司針對UPnP協議的具體實現。因爲BroadCom在業界處於供應鏈上游,因此該實現被各大路由器廠商採用,包括華碩,D-Link,Zyxel,US Robotics,TP-Link,Netgear等。
2013年10月安全研究公司DefenseCode的安全研究人員發現了協議棧中的BroadCom UPnP 格式化字符串漏洞。考慮到該漏洞影響多家主流路由器廠商的產品,DefenseCode直到2017年才公開他們的發現。此次披露的代碼是驗證性質的,攻擊者在已公開文檔的基礎上還須完成必要的漏洞分析和優化shellcode的過程後才能發揮實際的威力。本文涉及的BCMUPnP_Hunter就是如此。
IoC
C2服務器
109.248.9.17 "Bulgaria/BG" "AS58222 Solar Invest UK LTD" #C2&&Loader
Sample MD5
9036120904827550bf4436a919d3e503
Shellcode(Base64 encode):
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
本文分享自微信公衆號 - 三六零CERT(CERT-360)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。