研究人員發(fā)現(xiàn)路由器如何被招募到僵尸網(wǎng)絡(luò)大軍中

11月的一則頭條讓很多讀者緊張不安:一位記者給出了你現(xiàn)在應(yīng)該更改網(wǎng)絡(luò)密碼的理由?！妒袌鲇^察》的卡里·保羅是報(bào)道僵尸網(wǎng)絡(luò)大軍的幾個(gè)網(wǎng)站之一，他們使用惡意軟件感染電腦，把電腦變成僵尸程序。

僵尸網(wǎng)絡(luò)將家用路由器變成垃圾郵件發(fā)送者。(據(jù)信該僵尸網(wǎng)絡(luò)是用來發(fā)送垃圾郵件的，而且與其他僵尸網(wǎng)絡(luò)不同的是，它“似乎沒有被用于執(zhí)行DDoS攻擊，”TechSpot的格雷格·塞尼克(Greg Synek)說。)

MarketWatch列出了路由器存在潛在風(fēng)險(xiǎn)的公司名稱;在撰寫本文時(shí)，上述公司沒有對此作出回應(yīng)。

保羅說:“研究人員說，目前有10萬到30萬臺(tái)設(shè)備被感染，而且這個(gè)數(shù)字可能還會(huì)增加。”Naked Security的作者John Dunn表示，自9月份以來，僵尸網(wǎng)絡(luò)已經(jīng)感染了美國、印度和中國的至少10萬臺(tái)路由器。

為什么，出了什么問題?在你沒有意識(shí)到的情況下，你的家庭網(wǎng)絡(luò)可能被用來發(fā)送有害的垃圾郵件，因?yàn)槟繕?biāo)設(shè)備已經(jīng)被利用來發(fā)送大量的垃圾郵件。

發(fā)現(xiàn)的起點(diǎn)通向網(wǎng)絡(luò)安全實(shí)驗(yàn)室;360Netlab網(wǎng)站展示了這個(gè)由網(wǎng)絡(luò)安全工程師王輝和RootKiter撰寫的故事。

這兩位研究人員說，感染的數(shù)量非常大;每次掃描事件中主動(dòng)掃描IP數(shù)量約為100,000;代理網(wǎng)絡(luò)由攻擊者實(shí)現(xiàn);代理與著名的郵件服務(wù)器(如Hotmail)通信。

“自2018年9月以來，360Netlab Scanmon在TCP端口5431上檢測到多次掃描峰值，每次系統(tǒng)記錄超過100k掃描源，與我們之前覆蓋的大多數(shù)其他僵尸網(wǎng)絡(luò)相比，這是一個(gè)相當(dāng)大的數(shù)字。”

到10月份，他們已經(jīng)對蜜罐進(jìn)行了調(diào)整和定制，并“成功地欺騙了僵尸網(wǎng)絡(luò)，讓它發(fā)送給我們樣本。”

它是如何工作的?Paul:“這次攻擊利用了通用即插即用(UPnP)功能上的一個(gè)安全漏洞，該漏洞允許同一網(wǎng)絡(luò)上的設(shè)備更無縫地發(fā)現(xiàn)彼此?！?/p>

僵尸網(wǎng)絡(luò)覆蓋的設(shè)備包括來自許多公司的型號，而不僅僅是一家。

那么，安全觀察人士有什么要說的呢?有趣的是，Naked Security公司表示，這次路由器入侵是利用一個(gè)“古老的安全漏洞”進(jìn)行的。鄧恩寫道:“通用即插即用當(dāng)然就是通用即插即用，這是一種存在已久且被廣泛濫用的網(wǎng)絡(luò)協(xié)議，其設(shè)計(jì)目的是使設(shè)備之間的通信更容易，而不需要復(fù)雜的配置?！盇rs Technica的丹·古丁對通用即插即用表達(dá)了類似的看法，“正如研究人員多年來一直警告的那樣，這種技術(shù)經(jīng)常會(huì)在使用它的網(wǎng)絡(luò)內(nèi)部造成嚴(yán)重漏洞?！?/p>

從更大的角度來看，僵尸網(wǎng)絡(luò)為惡意黑客提供了誘人的目標(biāo)機(jī)會(huì)。鄧恩指出，“路由器安全問題多年來一直是裸安全的主題，而且還在不斷出現(xiàn)。

在副標(biāo)題“僵尸網(wǎng)絡(luò)地獄”下，鄧恩寫道:“僵尸網(wǎng)絡(luò)是一種竊取他人計(jì)算資源并在大量ISP網(wǎng)絡(luò)上分發(fā)流量的方式，這種方式使其活動(dòng)比來自一小群服務(wù)器的活動(dòng)更難以關(guān)閉。”

與此同時(shí)，Goodin表示，尚不清楚感染了BCMUPnP_Hunter的路由器如何消毒。不過，他補(bǔ)充說，“通常情況下，只要重新啟動(dòng)一個(gè)受損的路由器就足夠了?！?/p>