全球数十万路由器感染病毒群发垃圾邮件 国内也是重灾区
奇虎安全实验室最新发布的安全报告显示全球至少数十万家用路由器已经被感染病毒并组成庞大的僵尸网络。
该僵尸网络感染的所有路由器均使用博通公司的芯片组,该公司路由器芯片组在五年前被发现存在安全漏洞。
考虑到巨大的安全风险在2013 年研究人员发现此漏洞时并没有公开,直到2017年时这个漏洞逐渐浮出水面。
活跃独立IP超过337万个:
最近奇虎实验室在日常监测时发现TCP5431端口出现异常,经过溯源后发现这种异常特征可追溯到今年1月。
这些异常扫描包含的独立IP累积高达337万个,不过这并不意味着有这么多设备被感染而是IP 存在变动情况。
即便如此活跃的IP也有数十万个,这意味着至少有数十万台家用路由器已经被感染并被组织到这个僵尸网络。
同时未确定的潜在感染数量超过 42 万,这说明这些设备也可能之前已经被感染或者接下来即将被感染等等。
国内也是感染的重灾区之一:
自建代理网络、反侦查能力强:
为了规避安全公司的监测该僵尸网络会自建代理网络,然后再利用终端作为跳板来访问互联网防止被监测到。
奇虎安全实验室表示该僵尸网络的病毒样本捕获非常困难,寻常的蜜罐以及普通的设备环境无法诱捕该病毒。
研究人员利用具备高交互的病毒蜜罐以及模拟多种设备环境后才将其捕获,攻击者这是尽可能的在规避分析。
主要目的是用来群发垃圾邮件:
和绝大多数僵尸网络发动DDoS 流量攻击不同的是,这次被感染的路由设备并没有对任何网站发动流量攻击。
只是经过分析后奇虎实验室的研究人员发现,该僵尸网络非常频繁的访问各大网络公司提供的电子邮件服务。
例如微软旗下的Microsoft Outlook和Microsoft Hotmail以及被美国电信运营商威瑞森收购的Yahoo! Mail.
更可疑的是该僵尸网络只会连接 TCP 25 端口------该端口是专门用于电子邮件服务器发送邮件的未加密端口。
由此研究人员推断该僵尸网络主要目的应该就是群发垃圾邮件,多IP发送可避免被邮件服务器检测到后封号。
清一色的TCP 25端口暴露了真实目的:
受影响的路由器和网络设备太多太多:
由于博通的芯片组被众多路由器厂商和网络设备制造商使用,所以当时受到该漏洞影响的产品实在太多太多。
比如中国电信的光猫设备、中国电信ADSL设备、华为路由器、中兴路由器以及深圳的TP Link普联路由器等。
腾达、华硕、思科、网件、友讯等数不清楚的厂商也都受影响,这也是研究人员当年雪藏该漏洞四年的原因。
好消息是那些受漏洞影响的路由器基本都已经逐步淘汰,毕竟一个路由器用五年以上那时间也确实有点长了。
路由厂商们也给部分设备推送新版本固件对漏洞进行修复,所以及时更新路由器固件真的是非常非常重要的。