FERRAMENTAS LINUX: Necurs Botnet Obtém Módulo Proxy com Recursos DDOS.

sábado, 25 de fevereiro de 2017

Necurs Botnet Obtém Módulo Proxy com Recursos DDOS.


Dado o tamanho do botnet Necurs, se usado para ataques DDOS, o dano poderia ser enorme, dizem pesquisadores.



A enorme botnet Necurs, conhecida por enviar grandes campanhas de spam, incluindo o ransomware Locky que está infectando inúmeros computadores, pode em breve ser transformada em uma ferramenta DDOS.

De acordo com um novo estudo da AnubisNetworks Labs, Necurs não é apenas um spambot, é uma peça modular de malware composto do módulo principal bot, um rootkit userland, e pode dinamicamente carregar módulos adicionais.

"Cerca de seis meses atrás, notamos que, além das comunicações habituais da porta 80, um sistema infectado da Necurs estava se comunicando com um conjunto de IPs em uma porta diferente usando, o que parecia ser, um protocolo diferente", explicam os pesquisadores.

Ao descifrar as comunicações C2 do Necurs bot, um pedido para carregar dois módulos diferentes foi observado, cada um com diferentes parâmetros. Um era o módulo regular de spam Necurs é conhecido por, enquanto o segundo era um desconhecido até então. Notado em setembro de 2016, o módulo pode ter sido em torno de agosto com base em um carimbo de data / hora na compilação. É possível, no entanto, que outra versão tenha sido implantada anteriormente e passou despercebida.

Depois de um pouco de trabalho neste módulo específico, os pesquisadores perceberam que havia um comando que faria com que o bot começasse a fazer pedidos HTTP ou UDP para um alvo arbitrário em um loop infinito - um ataque DDOS.

Massivo em tamanho, massivo em impacto

"Isto é particularmente interessante considerando o tamanho das botnets Necurs (a maior, onde este módulo estava sendo carregado, tem mais de 1 milhão de infecções ativas cada 24 horas) .Uma botnet tão grande pode provavelmente produzir um ataque DDOS muito poderoso", pesquisadores Nota. Na verdade, Necurs é uma botnet muito maior do que Mirai, e dado o dano feito por essa ferramenta particular, só podemos imaginar o impacto que este teria se implantado.

O módulo contém dois modos de ataque DDOS básicos que não possuem recursos especiais, como técnicas de spoofing ou amplificação de endereço IP de origem. O ataque HTTP funciona ao iniciar 16 threads que executam um loop interminável de solicitações.

Os pesquisadores não viram Necurs sendo usado para ataques DDOS, simplesmente que ele tem a capacidade em um dos módulos que ele está carregando. Isso, no entanto, é tão preocupante.




Até a próxima!!!

Nenhum comentário:

Postar um comentário