Sidste gang vi skrev om Necurs botnet var i januar, når det blev brugt i Locky ransomware distribution.
Necurs har været primært bruges til at sprede spam emails for at inficere brugernes systemer. Den botnet normalt inficerede systemer med ransomware. Omkring 1. juni, 2016, botnet stoppet stort set alle sine aktiviteter. De inactions af Necurs markerede et fald i ondsindet e-mail spam. Senere i 2016, Necurs var tilbage igen.
Interessant, mens Necurs blev rykket op fra malware scene, var der et signifikant fald i spam-kampagner. Desuden, botnet var nede i et stykke tid, fordi dens forfattere var henblik på at gøre det mere sofistikerede. Som det ofte blev anvendt, flere og flere sikkerhedsforanstaltninger var i stand til at opdage og neutralisere det.
Relaterede: Locky Fil Virus 2017: Pas Emails med Twice-vedhæftede zip-filer
Necurs botnet Går DDoS?
Hvad sker der med Necurs botnet nu? Ifølge en ny undersøgelse foretaget af AnubisNetworks Lab, Necurs er mere end en spambot. Den botnet er et modulopbygget stykke malware lavet af de vigtigste bot modul og et userland rootkit. Tilsyneladende, Necurs kan dynamisk indlæse yderligere moduler, for. For at komme til denne konklusion forskerne lavet nogle ganske spændende observationer.
“Om seks måneder siden, bemærkede vi, at ud over den sædvanlige port 80 kommunikation, et Necurs inficeret system blev kommunikerer med et sæt IP'er på en anden port ved hjælp af, hvad syntes at være, en anden protokol,” holdet af forskere sagde.
Holdet bemærket en anmodning om at indlæse to forskellige moduler, mens dekryptering kommandoen & kontrol kommunikation af botnet. Et af modulerne var ment for spam, mens den anden, en proxy-modul, ikke havde været kendt indtil det øjeblik. Det andet modul blev fanget i september 2016, men det kan have været omkring tidligere end det.
Relaterede: Trojan.Mirai.1: Den Mirai DDoS botnet Goes Windows
Efter nogle omhyggelig forskning blev det fastslået, at der var en kommando, der ville udløse bot at begynde at gøre HTTP eller UDP anmodninger til en vilkårlig mål i en endeløs løkke. Med andre ord, denne beskrivelse passer en DDoS-angreb.
“Dette er særligt interessant i betragtning af størrelsen af de Necurs botnets (det største, hvor dette modul var at være loaded, har over 1 million aktive infektioner hver 24 timer). En botnet dette store, kan sandsynligvis producere en meget kraftfuld DDOS angreb,” forskerne forklarede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: