一个新的僵尸网络正大肆蔓延在路由设备之中，截至当前，已有数十万个僵尸网络端点得到了确认，并检测到有大量的垃圾邮件发送行为。

据360Netlab telemetry公司称，该僵尸网络于今年9月首次出现，被称为BCMUPnP_Hunter。它得名起因于它让大量启用了BroadCom通用即插即用(UPnP)功能的路由器得到了感染。BCMUPnP_Hunter利用的是该功能中的一个于2013年就被揭露的漏洞。

多层代理架构

据研究人员称，BCMUPnP_Hunter本质上是一个自建的代理网络，一开始看起来它的作用就是从网络邮件源中推送垃圾邮件的，但这个恶意软件写得很好，可以看得出来作者有深厚的功底，完全不像那些脚本小子的拙劣作品。

自360Netlab telemetry公司利用蜜罐技术首次检测到TCP端口5431上的多次扫描尖峰后，明显就能看出感染链需要依赖于多个代理。僵尸网络和潜在目标之间的交互需要多个步骤执行：首先，它从TCP端口5431开始扫描，接着检查目标的UDP端口1900，并等待目标发送易受攻击的URL；在获得正确的URL后，攻击者需要交换另外四个数据包来确定代码在内存中的执行起始地址，这样就可以设计出正确的漏洞攻击载荷并将其反馈给目标。

僵尸网络的样本由两部分组成：shellcode和一个主要攻击载荷，后者包括针对BroadCom UPnP漏洞的探针，以及一个代理访问网络模块。

更细化地说，它会执行命令和控制服务器（C2）的一系列命令。首先，探针扫描端口以查找潜在目标，如果找到则将目标IP报告给载入程序，然后载入程序会完成后续的感染过程。

对于代理服务，bot会访问提供的地址并将访问结果报告给C2。

研究人员说，

攻击者可通过该命令建立一个代理网络，然后从发送垃圾邮件、模拟点击等行为中获利，而TCP代理当前又是与一些知名的邮件服务器（如Outlook，Hotmail，Yahoo！ 等）相关，由此来看攻击者的意图昭然若揭。

BroadCom UPnP漏洞

BCMUPnP_Hunter僵尸网络另一个值得注意的地方是，它利用的是一个已经存在至少五年的漏洞。

UPnP是一组网络协议，允许同一网络上的不同设备（如个人计算机，打印机，互联网网关，Wi-Fi接入点和移动设备）在彼此之间自动进行通信和信息共享。

数百家Broadcom制造商使用的UPnP芯片中，都存在一个远程preauth格式字符串漏洞，利用该漏洞，可以将任意值写入任意内存地址，也可以远程读取路由器内存。根据发现该缺陷的DefenseCode，未经身份验证的攻击者可通过root权限执行任意代码。据DefenseCode称，大多数型号都提供了补丁，但还有数百万的路由器未打补丁。

不断增长的威胁

周三公布的遥测数据显示，就感染的规模来说，BCMUPnP_Hunter僵尸网络正在迅速增长当中，它每隔一到三天就会对易受攻击的路由器进行扫描。360Netlab发现受感染设备的唯一IP地址总数为337万个。然而，这个数字很也可能包含了很多重复的地址——IP地址随时间变化的设备的地址。

更现实的说法是，360Netlab公司观察到的进行扫描的bots平均数量约为10万个端点。但研究人员表示，根据Shodan的调查，潜在感染人数可能高达40万。

仔细观察扫描发现，116种不同类型的设备已被感染，包括ADB、Broadcom、D-Link、Digicom、Linksys/Cisco、NetComm、UTStarcom、ZyXEL等公司的路由器型号。

为了防止感染僵尸网络，用户应该更新路由器到最新的固件版本。