La botnet Necurs impara un nuovo “trucco”: adesso è in grado di lanciare attacchi DDoS

I ricercatori di AnubisNetworks (società appartenente a BitSight) hanno di recente condiviso una nuova scoperta: nello scorso mese di settembre, il malware Necurs ha acquisito un nuovo modulo, che reca nuove funzionalità per quel che riguarda le comunicazioni C&C, ed offre la possibilità di condurre attacchi DDoS attraverso la botnet in questione, utilizzata, principalmente, per l’invio di spam nocivo.

Secondo Tiago Pereira, virus analyst presso Anubis Labs, fanno attualmente parte della composizione della botnet Necurs, costruita sulla base dell’omonimo malware, 1 milione di PC Windows infetti, preposti allo svolgimento di attività dannose. “Necurs è un programma malware di tipo modulare, che può essere utilizzato per vari scopi malevoli, – afferma l’esperto. – Nel sample da noi esaminato abbiamo individuato un nuovo modulo, il quale, di fatto, aggiunge al malware in causa sia funzionalità proxy SOCKS/HTTP, sia specifiche funzionalità DDoS”.

Circa sei mesi fa, i ricercatori avevano rilevato che, oltre alla porta 80, abitualmente utilizzata da Necurs per le comunicazioni, questo software maligno fa uso di un’altra porta e di un altro protocollo, nel momento in cui richiede un determinato blocco di indirizzi IP. Il reverse engineering eseguito sul sample ha evidenziato che quest’ultimo contiene un modulo proxy SOCKS/HTTP, in apparenza tutt’altro che sofisticato, per non dire elementare, adibito alle comunicazioni con il server C&C.

“Quando abbiamo analizzato i comandi che il bot riceve dal proprio C&C, è chiaramente emersa la presenza di un nuovo comando, in base al quale il bot inizia ad inviare richieste HTTP o UDP ad un target arbitrario, in loop continuo; questo appare essere, a tutti gli effetti, un vero e proprio attacco DDoS”, – scrivono i ricercatori, sottolineando tuttavia come, per il momento, non siano stati ancora osservati, in-the-wild, assalti DDoS provenienti dalla botnet Necurs. Allo stesso tempo, comunque, i proprietari delle botnet hanno iniziato ad utilizzare i bot, “opportunamente” aggiornati, in qualità di proxy server (HTTP, SOCKSv4, SOCKSv5); sotto tale veste, i bot sono in grado di operare con due diverse modalità: direct proxy e proxy backconnect.

“Esistono tre tipi di messaggi (o comandi) inviati ai bot dai relativi C&C, e distinguibili in base al byte msgtype presente nell’intestazione”, – scrivono i ricercatori sul blog. Si tratta, più precisamente, di Start Proxybackconnect, Sleep e Start DDoS; quest’ultimo definisce ugualmente la specifica tipologia DDoS messa in atto: HTTPflood (se i primi byte del messaggio contengono la stringa http:/) o UDPflood (se, invece, la stringa http:/ risulta assente). “Considerando le dimensioni delle botnet Necurs (la più estesa di esse conta oltre 1 milione di IP attivi nell’arco delle ventiquattro ore), persino le tecnologie più elementari possono generare un flusso davvero molto potente”, – sottolinea Tiago Pereira.

“L’attacco HTTP viene realizzato mediante 16 diversi thread, i quali effettuano richieste HTTP in loop continuo, – si riferisce nel blog post pubblicato da Anubis. – L’attacco UDPflood viene invece condotto ripetendo l’invio di un payload arbitrario, le cui dimensioni vanno da 128 a 1024 byte”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *