Dit is een kop in november die veel lezers nerveus maakte:een verslaggever gaf redenen waarom u nu uw internetwachtwoord zou moeten wijzigen. Kari Paul in Marktoverzicht was een van de vele sites die rapporteerden over een botnetleger, malware gebruiken om computers te infecteren en ze in bots te veranderen.

Het botnet verandert thuisrouters in e-mailspammers. (vermoedelijk gebruikt voor het verzenden van spam-e-mails, en in tegenstelling tot andere botnets, deze "lijkt niet te worden gebruikt voor het uitvoeren van DDoS-aanvallen, " zei Greg Synek in TechSpot .)

Marktoverzicht vermelde namen van bedrijven waarvan de routers potentieel gevaar lopen; de genoemde bedrijven hebben er op het moment van schrijven niet op gereageerd.

"Tot dusver, tussen 100, 000 en 300, 000 apparaten zijn geïnfecteerd en dat aantal kan groeien, onderzoekers zeggen, " volgens Paulus. Naakte beveiliging auteur John Dunn zei dat het botnet is geïnfecteerd minstens 100, 000 routers in de VS, India en China sinds september.

Waarom, wat gaat er mis? Zonder dat je het zelf door hebt, uw thuisnetwerk kan worden gebruikt om schadelijke spam te verzenden, omdat gerichte apparaten zijn ingezet om enorme hoeveelheden spam-e-mails te verzenden.

De uitgangspunten van de ontdekking leiden tot een netwerkbeveiligingslab; de 360Netlab site presenteerde het verhaal, geschreven door de netwerkbeveiligingsingenieur Hui Wang en RootKiter.

De twee onderzoekers zeiden dat de hoeveelheid infectie erg groot was; het aantal actieve scan-IP's in elke scangebeurtenis was ongeveer 100, 000; het proxynetwerk is geïmplementeerd door de aanvaller; de proxy communiceert met bekende mailservers zoals Hotmail.

"Sinds september 2018 360Netlab Scanmon heeft meerdere scanpieken gedetecteerd op TCP-poort 5431, elke keer dat het systeem meer dan 100.000 scanbronnen registreerde, een behoorlijk groot aantal vergeleken met de meeste andere botnets die we eerder hebben behandeld."

In oktober hadden ze hun honeypot-tweaks en -aanpassingen goed en "hebben ze het botnet met succes misleid om ons het monster te sturen."

Hoe werkt dit? Paul:"De aanval maakt gebruik van een beveiligingslek dat aanvankelijk in 2013 werd gevonden in de Universal Plug and Play (UPnP)-functie, waardoor een apparaat op hetzelfde netwerk elkaar naadloos kan ontdekken."

Het botnet omvat apparaten, waaronder modellen van een aantal bedrijven, niet zomaar een.

Dus wat hadden veiligheidswaarnemers te zeggen? interessant, Naakte beveiliging zei dat de router-escapade wordt uitgevoerd met behulp van een "oude beveiligingsfout". Dunn schreef, "De UPnP, natuurlijk, is Universele Plug en Play, een al lang bestaand en veel misbruikt netwerkprotocol dat is ontworpen om het voor apparaten gemakkelijk te maken om met elkaar te praten zonder ingewikkelde configuratie." Dan Goodin in Ars Technica uitte soortgelijke gedachten over UPnP, die, "zoals onderzoekers al jaren waarschuwen, opent vaak ernstige gaten in de netwerken die het gebruiken."

In het grotere geheel, botnets prikkelen doelwitten voor hackers met kwade bedoelingen. Dunn merkte op dat "routercompromissen al jaren een terugkerend thema zijn op Naked Security en nog steeds blijven komen.

"Onder een onderkopje "Botnet hell, " Dunn schreef dat "Botnets een manier zijn om de computerbronnen van iemand anders te stelen en verkeer over veel ISP-netwerken te verdelen op een manier die het moeilijker maakt om de activiteit af te sluiten dan wanneer het afkomstig zou zijn van een kleine groep servers."

Goed in, In de tussentijd, zei dat het niet duidelijk was hoe routers die zijn geïnfecteerd met BCMUPnP_Hunter kunnen worden gedesinfecteerd. Niettemin, hij voegde toe, "Gebruikelijk, gewoon een gecompromitteerde router opnieuw opstarten is voldoende."

© 2018 Wetenschap X Netwerk