BCMUPnP_Hunter有以下特点：一是感染目标单一，感染对象主要是以BroadCom UpnP网络架构为基础的路由器设备；二是自建代理网络(tcp-proxy)，该代理网络由攻击者自行实现，可以利用 bot端为跳板，代理访问互联网；三是该代理网络目前主要访问Outlook，Hotmail，Yahoo! Mail 等知名邮件服务器。

2013年10月 DefenseCode的安全研究人员发现Broadcom UPnP 实现存在重大安全漏洞。考虑到漏洞的严重性，并没有立即公开他们的发现。2017年4月 DefenseCode正式披露了这个漏洞的细节信息，2018年9月检测到针对TCP 5431 端口的扫描异常，在对基础数据回溯后，发现该扫描特征最早可回溯于 2018年1月。2018年10月定位扫描源头，并捕获投递样本。

该僵尸网络的样本由两个部分组成：shellcode和bot主体， shellcode主要功能为从C2(109.248.9.17:8738，位于俄罗斯)下载主样本并执行。样本主体的功能包括 Broadcom UPnP 漏洞探测和代理访问网络功能，能够解析来自C2的4种指令码。在这个案例中，攻击者在滥用这些服务器的电子邮件服务且正在利用BCMUPnP_Hunter建立的代理网络发送垃圾邮件。

虽然目前该僵尸网络的危害主要以垃圾邮件为主，但不排除攻击者将来在垃圾邮件中夹带挖矿木马、勒索病毒等威胁。

联系方式： 
国家计算机病毒应急处理中心 
计算机病毒防治产品检验中心