 |
||
Botnet Necurs ahora también realiza ataques DDoSflacoroo Wednesday, March 1, 2017 La botnet Necurs ha aprendido un nuevo truco. En lugar de solo entregar correos no deseados, como el ransomware Locky, la botnet es ahora capaz de lanzar ataques DDoS. De acuerdo con los Laboratorios de Anubis BitSight, el malware se modificó en septiembre para incluir un módulo que añade capacidades de DDoS y nuevas funciones en el servidor de mando y control. Necurs es el malware que conforma una red de bots que lleva el mismo nombre y está actualmente activo en un millón de computadoras con Windows, según Tiago Pereira, investigador de threat Intel junto con Anubis Labs. "Necurs es un malware modular que se puede utilizar para muchos propósitos diferentes. Lo nuevo con la muestra que encontramos es la adición de un módulo que añade un proxy SOCKS / HTTP y capacidades DDoS a este malware", dijo. Hace seis meses, Pereira explicó que Anubis Labs notó que junto al habitual puerto 80 de comunicaciones, un sistema infectado con Necurs se estaba comunicando con un conjunto de direcciones IP a través de un puerto diferente, lo que parecía ser, un protocolo diferente. Cuando investigadores de Anubis Labs realizaron ingeniería inversa a la muestra del malware Necurs, se dieron cuenta de lo que parecía ser un módulo proxy SOCKS / HTTP simple para las comunicaciones entre él y el servidor de mando y control. "A medida que nos fijamos en los comandos que el bot aceptaba desde el C2 (Command and Control), nos dimos cuenta de que había una orden adicional, que haría que el bot empezara a hacer peticiones HTTP o UDP a un objetivo arbitrario en un bucle sin fin, de una manera que pudiera solo explicarse como un ataque DDoS", Pereira describe en un blog de investigación. Los investigadores son cuidadosos en señalar que la función de DDoS no ha sido utilizada por quienes están detrás de la botnet Necurs en este momento. Los propietarios de botnets utilizan servidores proxy comprometidos con los bots (HTTP, SOCKSv4 y protocolos SOCKSv5), para la transmisión de conexiones a través de ellos en dos modos de funcionamiento (proxy directo y proxy en segundo plano), según el informe. "También hay tres tipos de mensajes (o comandos) enviados por el C2 para el bot, que pueden ser distinguidos", dijo Pereira. Estos comandos incluyen Start Proxybackconnect, Sleep y Start DDoS, mencionó. La orden de ataque DDoS de inicio incluye dos modos posibles: HTTPFlood y UDPFlood. El robot Necurs comenzará un ataque de inundación HTTP en contra del objetivo si los primeros bytes de la carga útil del mensaje son la cadena "http: /". Si los primeros bytes de la carga útil del mensaje no son la cadena "http: /", el bot iniciará un ataque de inundación UDP contra el objetivo. "Dado el tamaño de las redes de bots Necurs (más de un millón de IP / 24 horas es la mayor red de bots), incluso las técnicas más básicas deben producir un ataque muy poderoso", escribió Pereira. "El ataque de HTTP funciona iniciando 16 hilos que realizan un bucle sin fin de peticiones HTTP. El ataque de inundación UDP funciona mediante el envío de una carga útil en varias ocasiones al azar con tamaños entre 128 y 1024 bytes", según el informe. http://www.seguridad.unam.mx/noticia/?noti=3192 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|