A botnet envia spam por meio de roteadores

November 26, 2018
Segurança Telecom
A botnet envia spam por meio de roteadores
Desde setembro de 2018, o 360Netlab Scanmon detectou vários picos na atividade de varredura na porta TCP 5431. As leituras eram registradas sempre que o número de conexões (tentativas de varredura) ultrapassava 100.000.

O 360Netlab observa que esta é a atividade mais alta em comparação com outras botnets estudadas anteriormente.

A interação entre a botnet e a “vítima” ocorreu em várias etapas (veja a figura abaixo). Primeiro, a porta TCP 5431 foi escaneada. Em seguida, a porta UDP 1900 foi verificada — uma sequência específica foi enviada a ela, aguardando uma URL vulnerável fornecida pelo dispositivo em resposta. Após receber o link vulnerável, mais quatro sessões com o dispositivo foram realizadas para determinar o ponto de entrada para a execução do código shell na memória do dispositivo. Como resultado, o dispositivo foi transformado em um bot que executava as tarefas da botnet primária.

botnet interaction

Olhando para o futuro, devemos observar que as portas 5431 e 1900 não foram escolhidas aleatoriamente, pois o serviço UPnP geralmente é executado nessas portas. Isso significa que este serviço, habilitado por padrão na maioria dos dispositivos, apresenta uma vulnerabilidade. Analisaremos a lista de dispositivos posteriormente.

Por muito tempo, os especialistas não conseguiram detectar esse problema. O problema se resumia a fazer com que o honeypot (um recurso que atua como isca para invasores) imitasse um dispositivo no cenário descrito acima. Foi somente em outubro de 2018, após um longo processo de configuração, que conseguiram fazer isso e enganar a botnet. O projeto foi denominado BCMUPnP_Hunter.

Pesquisas posteriores mostraram que a botnet possui as seguintes características:

  • O número de infecções é muito alto, com aproximadamente 100.000 endereços IP de varredura ativos em cada evento.
  • O alvo da infecção são principalmente roteadores com a função BroadCom UPnP habilitada.
  • O servidor do invasor envia e-mails por meio dessa botnet, que é essencialmente um servidor proxy. Atualmente, as solicitações para servidores de e-mail conhecidos, como Outlook, Hotmail, Yahoo! Mail, etc., estão sendo registradas. Os pesquisadores acreditam que o objetivo dos invasores é enviar spam.

A frequência e o número de nós de varredura podem ser vistos no gráfico abaixo.

nodes scanning

Como pode ser observado, a atividade aumenta a cada 1 a 3 dias e, em alguns casos, chega a 100.000 nós. O número total de nós invasores é de cerca de 3,34 milhões, mas não se deve descartar que os mesmos dispositivos possam ter endereços IP diferentes.

A localização geográfica dos farejadores é mostrada no mapa.

sniffers location

A Índia lidera com 147.700 nós, seguida pelos EUA e China.

A lista de dispositivos vulneráveis ​​inclui muitas marcas populares, como Cisco, Zyxel, D-Link, Eltex e TP-Link. No total, são cerca de 116 dispositivos, mas pesquisadores observam que esse número pode ser maior. A lista completa está disponível abaixo.

As consequências são óbvias: 100% dos endereços IP dos provedores são colocados na lista negra de serviços antispam.

É interessante notar que uma grande proporção de dispositivos vulneráveis ​​são roteadores ADSL. Isso provavelmente é uma coincidência, mas não se deve esquecer que o xDSL ainda é usado em muitos países em desenvolvimento com grandes populações.

O Stingray oferece proteção contra ataques DDoS, e a nova versão conta com uma função de mini-firewall, que descreveremos em detalhes em breve em nosso blog. Para obter informações mais detalhadas sobre as vantagens da plataforma, seu uso eficaz em redes de telecomunicações, bem como a migração de outras plataformas e integração com outros sistemas, entre em contato com os especialistas da VAS Experts, desenvolvedora e fornecedora do sistema de análise de tráfego Stingray Service Gateway.

Complete list of vulnerable devices
ADB Broadband S.p.A,    HomeStation ADSL Router 
ADB Broadband,    ADB ADSL Router 
ADBB,    ADB ADSL Router  
ALSiTEC,    Broadcom ADSL Router  
ASB,    ADSL Router  
ASB,    ChinaNet EPON Router  
ASB,    ChinaTelecom E8C(EPON) Gateway  
Actiontec,    Actiontec GT784WN  
Actiontec,    Verizon ADSL Router  
BEC Technologies Inc.,    Broadcom ADSL Router 
Best IT World India Pvt. Ltd.,    150M Wireless-N ADSL2+ Router 
Best IT World India Pvt. Ltd.,    iB-WRA300N 
Billion Electric Co., Ltd.,    ADSL2+ Firewall Router 
Billion Electric Co., Ltd.,    BiPAC 7800NXL 
Billion,    BiPAC 7700N 
Billion,    BiPAC 7700N R2  
Binatone Telecommunication,    Broadcom LAN Router 
Broadcom,    ADSL Router 
Broadcom,    ADSL2+ 11n WiFi CPE  
Broadcom,    Broadcom  Router  
Broadcom,    Broadcom ADSL Router  
Broadcom,    D-Link DSL-2640B  
Broadcom,    D-link ADSL Router  
Broadcom,    DLink ADSL Router  
ClearAccess,    Broadcom ADSL Router  
Comtrend,    AR-5383n 
Comtrend,    Broadcom ADSL Router  
Comtrend,    Comtrend single-chip ADSL router  
D-Link Corporation.,    D-Link DSL-2640B 
D-Link Corporation.,    D-Link DSL-2641B 
D-Link Corporation.,    D-Link DSL-2740B 
D-Link Corporation.,    D-Link DSL-2750B 
D-Link Corporation.,    D-LinkDSL-2640B 
D-Link Corporation.,    D-LinkDSL-2641B 
D-Link Corporation.,    D-LinkDSL-2741B 
D-Link Corporation.,    DSL-2640B 
D-Link,    ADSL 4*FE 11n Router  
D-Link,    D-Link ADSL Router  
D-Link,    D-Link DSL-2640U  
D-Link,    D-Link DSL-2730B  
D-Link,    D-Link DSL-2730U  
D-Link,    D-Link DSL-2750B  
D-Link,    D-Link DSL-2750U  
D-Link,    D-Link DSL-6751  
D-Link,    D-Link DSL2750U  
D-Link,    D-Link Router  
D-Link,    D-link ADSL Router  
D-Link,    DVA-G3672B-LTT Networks ADSL Router  
DARE,    Dare router  
DLink,    D-Link DSL-2730B  
DLink,    D-Link VDSL Router  
DLink,    DLink ADSL Router  
DQ Technology, Inc.,    ADSL2+ 11n WiFi CPE 
DQ Technology, Inc.,    Broadcom ADSL Router 
DSL,    ADSL Router  
DareGlobal,    D-Link ADSL Router  
Digicom S.p.A.,    ADSL Wireless Modem/Router  
Digicom S.p.A.,    RAW300C-T03 
Dlink,    D-Link DSL-225  
Eltex,    Broadcom ADSL Router  
FiberHome,    Broadcom ADSL Router  
GWD,    ChinaTelecom E8C(EPON) Gateway  
Genew,    Broadcom ADSL Router  
INTEX,    W150D 
INTEX,    W300D 
INTEX,    Wireless N 150 ADSL2+ Modem Router  
INTEX,    Wireless N 300 ADSL2+ Modem Router  
ITI Ltd.,    ITI Ltd.ADSL2Plus Modem/Router  
Inteno,    Broadcom ADSL Router  
Intercross,    Broadcom ADSL Router  
IskraTEL,    Broadcom ADSL Router  
Kasda,    Broadcom ADSL Router  
Link-One,    Modem Roteador Wireless N ADSL2+ 150 Mbps  
Linksys,    Cisco X1000 
Linksys,    Cisco X3500 
NB,    DSL-2740B  
NetComm Wireless Limited,    NetComm ADSL2+ Wireless Router  
NetComm,    NetComm ADSL2+ Wireless Router  
NetComm,    NetComm WiFi Data and VoIP Gateway
OPTICOM,    DSLink 279 
Opticom,    DSLink 485 
Orcon,    Genius 
QTECH,    QTECH 
Raisecom,    Broadcom ADSL Router  
Ramptel,    300Mbps ADSL Wireless-N Router  
Router,    ADSL2+ Router  
SCTY,    TYKH PON Router  
Star-Net,    Broadcom ADSL Router  
Starbridge Networks,    Broadcom ADSL Router 
TP-LINK Technologies Co., Ltd,    300Mbps Wireless N ADSL2+ Modem Router  
TP-LINK Technologies Co., Ltd,    300Mbps Wireless N USB ADSL2+ Modem Router  
TP-LINK,    TP-LINK Wireless ADSL2+ Modem Router  
TP-LINK,    TP-LINK Wireless ADSL2+ Router  
Technicolor,    CenturyLink TR-064 v4.0  
Tenda,    Tenda ADSL2+ WIFI MODEM  
Tenda,    Tenda ADSL2+ WIFI Router  
Tenda,    Tenda Gateway  
Tenda/Imex,    ADSL2+ WIFI-MODEM WITH 3G/4G USB PORT  
Tenda/Imex,    ADSL2+ WIFI-MODEM WITH EVO SUPPORT  
UTStarcom Inc.,    UTStarcom ADSL2+ Modem Router  
UTStarcom Inc.,    UTStarcom ADSL2+ Modem/Wireless Router  
UniqueNet Solutions,    WLAN N300 ADSL2+ Modem Router  
ZTE,    Broadcom ADSL Router  
ZTE,    ONU Router  
ZYXEL,    ZyXEL VDSL Router  
Zhone,    Broadcom ADSL Router  
Zhone,    Zhone Wireless Gateway  
Zoom,    Zoom Adsl Modem/Router  
ZyXEL,    CenturyLink UPnP v1.0  
ZyXEL,    P-660HN-51  
ZyXEL,    ZyXEL xDSL Router  
huaqin,    HGU210 v3 Router  
iBall Baton,    iBall Baton 150M Wireless-N ADSL2+ Router  
iiNet Limited,    BudiiLite 
iiNet,    BoB2 
iiNet,    BoBLite