Ботнет «спамит» через роутеры

26.11.2018 | Андрей Леушкин

Ботнет "спамит" через роутеры

C сентября 2018 года 360Netlab Scanmon обнаружила множественные всплески сканирования на TCP-порт 5431. Показания фиксировались, каждый раз, когда количество соединений (попыток сканирования) превышало 100 тысяч. 360Netlab отмечает, что это самая высокая активность по сравнению с другими ранее исследованными бот-сетями.

Взаимодействие бот-сети и “жертвы” проходило в несколько этапов, (рисунок ниже). Вначале, сканировался 5431 TCP-порт. Затем проверялся 1900 UDP-порт — в него отправляли определенную последовательность, ожидая в ответ уязвимый URL предоставленный устройством. После получения уязвимой ссылки, происходило еще 4 сеанса с устройством для определения точки входа с целью запуска shell-кода в памяти устройства. В итоге, устройство превращалось в бота, который выполнял задачи первичной бот-сети.

Ботнет "спамит" через роутеры

Забегая вперед отметим, что порты 5431 и 1900 были выбраны не случайно, так как обычно, на этих портах работает служба UPnP. То есть данная служба, включенная по умолчанию на большинстве устройств, имеет уязвимость. Список устройств, рассмотрим позже.

Продолжительное время, данную проблему специалисты не могли обнаружить. Проблема сводилась к тому, чтобы заставить honeypot  (“горшочек с медом” —  ресурс, представляющий собой приманку для злоумышленников) имитировать устройство по вышеописанному сценарию. Только в октябре 2018 года, после долгой настройки, это удалось сделать и успешно обмануть бот-сеть. Проект назвали BCMUPnP_Hunter.

Дальнейшие исследования показали, что ботнет имеет следующие особенности:

  • Количество заражения очень велико, число активных сканирующих IP-адресов в каждом событии составляет около 100 000;
  • Целью заражения является в основном оборудование маршрутизатора с включенной функцией BroadCom UPnP.
  • Сервер злоумышленника отправляет письма через данную бот-сеть, которая, по своей сути, является proxy-сервером. В настоящее время фиксируются обращения к известными почтовым серверам, такими как Outlook, Hotmail, Yahoo! Mail и т. д. Исследователи предполагают, что цель злоумышленников — рассылка спама.

О периодичности и численности сканирующих узлов можно судить из графика ниже.

Ботнет "спамит" через роутеры

Как видно, активность возрастает с периодичностью в 1-3 дня и в некоторых случаях доходит до 100000 узлов. Общее число атакующих узлов около 3,34 млн, но не стоит исключать тот факт, что одни и те же устройства могут иметь разные IP-адреса.

Географическое расположение снифферов указано на карте.

Ботнет "спамит" через роутеры

В лидерах Индия — 147,7 тысяч узлов, затем США и Китай.

Список уязвимых устройств состоит из многих популярных брендов, таких как Cisco, Zyxel, D-Link, Eltex и TP-Link. В общей сложности, набралось около 116 устройств, однако исследователи отмечают, что это количество может быть и больше.

ADB Broadband S.p.A,    HomeStation ADSL Router 

ADB Broadband,    ADB ADSL Router 

ADBB,    ADB ADSL Router  

Полный список устройств

ALSiTEC,    Broadcom ADSL Router  

ASB,    ADSL Router  

ASB,    ChinaNet EPON Router  

ASB,    ChinaTelecom E8C(EPON) Gateway  

Actiontec,    Actiontec GT784WN  

Actiontec,    Verizon ADSL Router  

BEC Technologies Inc.,    Broadcom ADSL Router 

Best IT World India Pvt. Ltd.,    150M Wireless-N ADSL2+ Router 

Best IT World India Pvt. Ltd.,    iB-WRA300N 

Billion Electric Co., Ltd.,    ADSL2+ Firewall Router 

Billion Electric Co., Ltd.,    BiPAC 7800NXL 

Billion,    BiPAC 7700N 

Billion,    BiPAC 7700N R2  

Binatone Telecommunication,    Broadcom LAN Router 

Broadcom,    ADSL Router 

Broadcom,    ADSL2+ 11n WiFi CPE  

Broadcom,    Broadcom  Router  

Broadcom,    Broadcom ADSL Router  

Broadcom,    D-Link DSL-2640B  

Broadcom,    D-link ADSL Router  

Broadcom,    DLink ADSL Router  

ClearAccess,    Broadcom ADSL Router  

Comtrend,    AR-5383n 

Comtrend,    Broadcom ADSL Router  

Comtrend,    Comtrend single-chip ADSL router  

D-Link Corporation.,    D-Link DSL-2640B 

D-Link Corporation.,    D-Link DSL-2641B 

D-Link Corporation.,    D-Link DSL-2740B 

D-Link Corporation.,    D-Link DSL-2750B 

D-Link Corporation.,    D-LinkDSL-2640B 

D-Link Corporation.,    D-LinkDSL-2641B 

D-Link Corporation.,    D-LinkDSL-2741B 

D-Link Corporation.,    DSL-2640B 

D-Link,    ADSL 4*FE 11n Router  

D-Link,    D-Link ADSL Router  

D-Link,    D-Link DSL-2640U  

D-Link,    D-Link DSL-2730B  

D-Link,    D-Link DSL-2730U  

D-Link,    D-Link DSL-2750B  

D-Link,    D-Link DSL-2750U  

D-Link,    D-Link DSL-6751  

D-Link,    D-Link DSL2750U  

D-Link,    D-Link Router  

D-Link,    D-link ADSL Router  

D-Link,    DVA-G3672B-LTT Networks ADSL Router  

DARE,    Dare router  

DLink,    D-Link DSL-2730B  

DLink,    D-Link VDSL Router  

DLink,    DLink ADSL Router  

DQ Technology, Inc.,    ADSL2+ 11n WiFi CPE 

DQ Technology, Inc.,    Broadcom ADSL Router 

DSL,    ADSL Router  

DareGlobal,    D-Link ADSL Router  

Digicom S.p.A.,    ADSL Wireless Modem/Router  

Digicom S.p.A.,    RAW300C-T03 

Dlink,    D-Link DSL-225  

Eltex,    Broadcom ADSL Router  

FiberHome,    Broadcom ADSL Router  

GWD,    ChinaTelecom E8C(EPON) Gateway  

Genew,    Broadcom ADSL Router  

INTEX,    W150D 

INTEX,    W300D 

INTEX,    Wireless N 150 ADSL2+ Modem Router  

INTEX,    Wireless N 300 ADSL2+ Modem Router  

ITI Ltd.,    ITI Ltd.ADSL2Plus Modem/Router  

Inteno,    Broadcom ADSL Router  

Intercross,    Broadcom ADSL Router  

IskraTEL,    Broadcom ADSL Router  

Kasda,    Broadcom ADSL Router  

Link-One,    Modem Roteador Wireless N ADSL2+ 150 Mbps  

Linksys,    Cisco X1000 

Linksys,    Cisco X3500 

NB,    DSL-2740B  

NetComm Wireless Limited,    NetComm ADSL2+ Wireless Router  

NetComm,    NetComm ADSL2+ Wireless Router  

NetComm,    NetComm WiFi Data and VoIP Gateway  

OPTICOM,    DSLink 279 

Opticom,    DSLink 485 

Orcon,    Genius 

QTECH,    QTECH 

Raisecom,    Broadcom ADSL Router  

Ramptel,    300Mbps ADSL Wireless-N Router  

Router,    ADSL2+ Router  

SCTY,    TYKH PON Router  

Star-Net,    Broadcom ADSL Router  

Starbridge Networks,    Broadcom ADSL Router 

TP-LINK Technologies Co., Ltd,    300Mbps Wireless N ADSL2+ Modem Router  

TP-LINK Technologies Co., Ltd,    300Mbps Wireless N USB ADSL2+ Modem Router  

TP-LINK,    TP-LINK Wireless ADSL2+ Modem Router  

TP-LINK,    TP-LINK Wireless ADSL2+ Router  

Technicolor,    CenturyLink TR-064 v4.0  

Tenda,    Tenda ADSL2+ WIFI MODEM  

Tenda,    Tenda ADSL2+ WIFI Router  

Tenda,    Tenda Gateway  

Tenda/Imex,    ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT  

Tenda/Imex,    ADSL2+ WIFI-MODEM WITH EVO SUPPORT  

UTStarcom Inc.,    UTStarcom ADSL2+ Modem Router  

UTStarcom Inc.,    UTStarcom ADSL2+ Modem/Wireless Router  

UniqueNet Solutions,    WLAN N300 ADSL2+ Modem Router  

ZTE,    Broadcom ADSL Router  

ZTE,    ONU Router  

ZYXEL,    ZyXEL VDSL Router  

Zhone,    Broadcom ADSL Router  

Zhone,    Zhone Wireless Gateway  

Zoom,    Zoom Adsl Modem/Router  

ZyXEL,    CenturyLink UPnP v1.0  

ZyXEL,    P-660HN-51  

ZyXEL,    ZyXEL xDSL Router  

huaqin,    HGU210 v3 Router  

iBall Baton,    iBall Baton 150M Wireless-N ADSL2+ Router  

iiNet Limited,    BudiiLite 

iiNet,    BoB2 

iiNet,    BoBLite 

Последствия очевидны — 100% попадание IP-адресов провайдера в черные списки антиспам-сервисов.

Интересен тот факт, что большая доля уязвимых устройств — ADSL-маршрутизаторы. Вероятно, это совпадение, но и не стоит забывать, что во многих развивающихся странах с высокой популяцией до сих пор используется xDSL.

СКАТ DPI позволят осуществлять защиту от DDoS атак, а в новой версии появилась функция мини-файервола, про которую мы рассказывали на последнем вебинаре и в ближайшее время опишем её работу в блоге. Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также миграции с других платформ и интеграции с другими системами, вы можете узнать у специалистов компании «VAS Experts», разработчика и поставщика системы анализа трафика СКАТ DPI.

Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Материал для статьи отсюда.

Поделиться в социальных сетях