一個新的僵尸網絡正大肆蔓延在路由設備之中，截至當前，已有數十萬個僵尸網絡端點得到了確認，并檢測到有大量的垃圾郵件發送行為。
據360Netlab telemetry公司稱，該僵尸網絡于今年9月首次出現，被稱為BCMUPnP_Hunter。它得名起因于它讓大量啟用了BroadCom通用即插即用(UPnP)功能的路由器得到了感染。BCMUPnP_Hunter利用的是該功能中的一個于2013年就被揭露的漏洞。
多層代理架構
據研究人員稱，BCMUPnP_Hunter本質上是一個自建的代理網絡，一開始看起來它的作用就是從網絡郵件源中推送垃圾郵件的，但這個惡意軟件寫得很好，可以看得出來作者有深厚的功底，完全不像那些腳本小子的拙劣作品。
自360Netlab telemetry公司利用蜜罐技術首次檢測到TCP端口5431上的多次掃描尖峰后，明顯就能看出感染鏈需要依賴于多個代理。僵尸網絡和潛在目標之間的交互需要多個步驟執行：首先，它從TCP端口5431開始掃描，接著檢查目標的UDP端口1900，并等待目標發送易受攻擊的URL；在獲得正確的URL后，攻擊者需要交換另外四個數據包來確定代碼在內存中的執行起始地址，這樣就可以設計出正確的漏洞攻擊載荷并將其反饋給目標。
僵尸網絡的樣本由兩部分組成：shellcode和一個主要攻擊載荷，后者包括針對BroadCom UPnP漏洞的探針，以及一個代理訪問網絡模塊。
更細化地說，它會執行命令和控制服務器（C2）的一系列命令。首先，探針掃描端口以查找潛在目標，如果找到則將目標IP報告給載入程序，然后載入程序會完成后續的感染過程。
對于代理服務，bot會訪問提供的地址并將訪問結果報告給C2。
研究人員說，
攻擊者可通過該命令建立一個代理網絡，然后從發送垃圾郵件、模擬點擊等行為中獲利，而TCP代理當前又是與一些知名的郵件服務器（如Outlook，Hotmail，Yahoo！ 等）相關，由此來看攻擊者的意圖昭然若揭。
BroadCom UPnP漏洞
BCMUPnP_Hunter僵尸網絡另一個值得注意的地方是，它利用的是一個已經存在至少五年的漏洞。
UPnP是一組網絡協議，允許同一網絡上的不同設備（如個人計算機，打印機，互聯網網關，Wi-Fi接入點和移動設備）在彼此之間自動進行通信和信息共享。
數百家Broadcom制造商使用的UPnP芯片中，都存在一個遠程preauth格式字符串漏洞，利用該漏洞，可以將任意值寫入任意內存地址，也可以遠程讀取路由器內存。根據發現該缺陷的DefenseCode，未經身份驗證的攻擊者可通過root權限執行任意代碼。據DefenseCode稱，大多數型號都提供了補丁，但還有數百萬的路由器未打補丁。
不斷增長的威脅
周三公布的遙測數據顯示，就感染的規模來說，BCMUPnP_Hunter僵尸網絡正在迅速增長當中，它每隔一到三天就會對易受攻擊的路由器進行掃描。360Netlab發現受感染設備的唯一IP地址總數為337萬個。然而，這個數字很也可能包含了很多重復的地址——IP地址隨時間變化的設備的地址。
更現實的說法是，360Netlab公司觀察到的進行掃描的bots平均數量約為10萬個端點。但研究人員表示，根據Shodan的調查，潛在感染人數可能高達40萬。
仔細觀察掃描發現，116種不同類型的設備已被感染，包括ADB、Broadcom、D-Link、Digicom、Linksys/Cisco、NetComm、UTStarcom、ZyXEL等公司的路由器型號。
為了防止感染僵尸網絡，用戶應該更新路由器到最新的固件版本。