News

La botnet Necurs impara un nuovo “trucco”: adesso è in grado di lanciare attacchi DDoS

I ricercatori di AnubisNetworks (società appartenente a BitSight) hanno di recente condiviso una nuova scoperta: nello scorso mese di settembre, il malware Necurs ha acquisito un nuovo modulo, che reca nuove funzionalità per quel che riguarda le comunicazioni C&C, ed offre la possibilità di condurre attacchi DDoS attraverso la botnet in questione, utilizzata, principalmente, per l’invio di spam nocivo.

Secondo Tiago Pereira, virus analyst presso Anubis Labs, fanno attualmente parte della composizione della botnet Necurs, costruita sulla base dell’omonimo malware, 1 milione di PC Windows infetti, preposti allo svolgimento di attività dannose. “Necurs è un programma malware di tipo modulare, che può essere utilizzato per vari scopi malevoli, – afferma l’esperto. – Nel sample da noi esaminato abbiamo individuato un nuovo modulo, il quale, di fatto, aggiunge al malware in causa sia funzionalità proxy SOCKS/HTTP, sia specifiche funzionalità DDoS”.

Circa sei mesi fa, i ricercatori avevano rilevato che, oltre alla porta 80, abitualmente utilizzata da Necurs per le comunicazioni, questo software maligno fa uso di un’altra porta e di un altro protocollo, nel momento in cui richiede un determinato blocco di indirizzi IP. Il reverse engineering eseguito sul sample ha evidenziato che quest’ultimo contiene un modulo proxy SOCKS/HTTP, in apparenza tutt’altro che sofisticato, per non dire elementare, adibito alle comunicazioni con il server C&C.

“Quando abbiamo analizzato i comandi che il bot riceve dal proprio C&C, è chiaramente emersa la presenza di un nuovo comando, in base al quale il bot inizia ad inviare richieste HTTP o UDP ad un target arbitrario, in loop continuo; questo appare essere, a tutti gli effetti, un vero e proprio attacco DDoS”, – scrivono i ricercatori, sottolineando tuttavia come, per il momento, non siano stati ancora osservati, in-the-wild, assalti DDoS provenienti dalla botnet Necurs. Allo stesso tempo, comunque, i proprietari delle botnet hanno iniziato ad utilizzare i bot, “opportunamente” aggiornati, in qualità di proxy server (HTTP, SOCKSv4, SOCKSv5); sotto tale veste, i bot sono in grado di operare con due diverse modalità: direct proxy e proxy backconnect.

“Esistono tre tipi di messaggi (o comandi) inviati ai bot dai relativi C&C, e distinguibili in base al byte msgtype presente nell’intestazione”, – scrivono i ricercatori sul blog. Si tratta, più precisamente, di Start Proxybackconnect, Sleep e Start DDoS; quest’ultimo definisce ugualmente la specifica tipologia DDoS messa in atto: HTTPflood (se i primi byte del messaggio contengono la stringa http:/) o UDPflood (se, invece, la stringa http:/ risulta assente). “Considerando le dimensioni delle botnet Necurs (la più estesa di esse conta oltre 1 milione di IP attivi nell’arco delle ventiquattro ore), persino le tecnologie più elementari possono generare un flusso davvero molto potente”, – sottolinea Tiago Pereira.

“L’attacco HTTP viene realizzato mediante 16 diversi thread, i quali effettuano richieste HTTP in loop continuo, – si riferisce nel blog post pubblicato da Anubis. – L’attacco UDPflood viene invece condotto ripetendo l’invio di un payload arbitrario, le cui dimensioni vanno da 128 a 1024 byte”.

Fonte: Threatpost

La botnet Necurs impara un nuovo “trucco”: adesso è in grado di lanciare attacchi DDoS

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox