Dado o tamanho do botnet Necurs, se usado para ataques DDOS, o dano poderia ser enorme, dizem pesquisadores.
A enorme botnet
Necurs, conhecida por enviar grandes campanhas de spam, incluindo o
ransomware Locky que está infectando inúmeros computadores, pode em
breve ser transformada em uma ferramenta DDOS.
De acordo com um
novo estudo da AnubisNetworks Labs, Necurs não é apenas um spambot,
é uma peça modular de malware composto do módulo principal bot, um
rootkit userland, e pode dinamicamente carregar módulos adicionais.
"Cerca de seis meses atrás, notamos que, além das comunicações habituais da porta 80, um sistema infectado da Necurs estava se comunicando com um conjunto de IPs em uma porta diferente usando, o que parecia ser, um protocolo diferente", explicam os pesquisadores.
Ao descifrar as
comunicações C2 do Necurs bot, um pedido para carregar dois módulos
diferentes foi observado, cada um com diferentes parâmetros. Um era
o módulo regular de spam Necurs é conhecido por, enquanto o segundo
era um desconhecido até então. Notado em setembro de 2016, o módulo
pode ter sido em torno de agosto com base em um carimbo de data /
hora na compilação. É possível, no entanto, que outra versão
tenha sido implantada anteriormente e passou despercebida.
Depois de um pouco
de trabalho neste módulo específico, os pesquisadores perceberam
que havia um comando que faria com que o bot começasse a fazer
pedidos HTTP ou UDP para um alvo arbitrário em um loop infinito - um
ataque DDOS.
Massivo em tamanho,
massivo em impacto
"Isto é particularmente interessante considerando o tamanho das botnets Necurs (a maior, onde este módulo estava sendo carregado, tem mais de 1 milhão de infecções ativas cada 24 horas) .Uma botnet tão grande pode provavelmente produzir um ataque DDOS muito poderoso", pesquisadores Nota. Na verdade, Necurs é uma botnet muito maior do que Mirai, e dado o dano feito por essa ferramenta particular, só podemos imaginar o impacto que este teria se implantado.
O módulo contém
dois modos de ataque DDOS básicos que não possuem recursos
especiais, como técnicas de spoofing ou amplificação de endereço
IP de origem. O ataque HTTP funciona ao iniciar 16 threads que
executam um loop interminável de solicitações.
Os pesquisadores não
viram Necurs sendo usado para ataques DDOS, simplesmente que ele tem
a capacidade em um dos módulos que ele está carregando. Isso, no
entanto, é tão preocupante.
Até a próxima!!!
Nenhum comentário:
Postar um comentário