News

Botnet Necurs eignet sich DDoS-Tricks an

Die Forscher von AnubisNetworks (ein BitSight Unternehmen) haben ihre neuste Entdeckung veröffentlicht: Im September wurde Necurs mit einem neuen Modul ausgestattet, das neue Funktionen der C&C-Verbindung und die Möglichkeit zur Durchführung von DDoS-Attacken über das Botnetz, das in erster Linie für den Spam-Versand benutzt wird, mit sich brachte.

Laut Angaben von Tiago Pereira, Virenanalyst bei Anubis Labs, umfasst das Botnet Necurs, das aus dem gleichnamigen Schädling aufgebaut ist, zum gegenwärtigen Zeitpunkt 1 Million infizierte Windows-PCs, die schädliche Aktivität erkennen lassen. „Necurs ist ein modulares Schadprogramm, das für verschiedene Bedürfnisse eingesetzt werden kann“, sagt der Experte. „In diesem Sample haben wir ein neues Modul entdeckt, das den Bots die zusätzliche Möglichkeit bietet, über SOCKS/HTTP als Proxy-Server zu fungieren und das mit DDoS-Funktionalität ausgestattet ist.“

Vor etwa einem halben Jahr fiel den Forschern auf, dass der Schädling neben dem Port 80, den Necurs üblicherweise für die Kommunikation verwendet, noch einen anderen Port und ein anderes Protokoll benutzt, während er mit einem gewissen IP-Adressen-Block kommuniziert. Ein Reverse-Engineering des Samples hat gezeigt, dass es ein auf den ersten Blick äußerst simples SOCKS/http-Proxymodul enthält, das für die Verbindung mit dem C&C-Server verantwortlich ist.

„Als wir uns die Befehle genauer anschauten, die die Bots vom C&C akzeptieren, stellten wir fest, dass ein neuer Befehl aufgetaucht war, über den ein Bot beginnt HTTP- oder UDP-Anfragen in einer Endlosschleife an ein willkürliches Ziel zu stellen, was wie eine echte DDoS-Attacke aussieht“, schreiben die Forscher und betonen dabei, dass sie bisher in „freier Wildbahn“ noch keine vom Botnetz Necurs ausgehende DDoS-Attacke beobachten konnten. Zur gleichen Zeit wurden die aktualisierten Bots plötzlich als Proxy-Server eingesetzt (HTTP, SOCKSv4, SOCKSv5), und in dieser Funktion können sie in zwei Modi laufen: direkter Proxy und Reverse Proxy.

„Es gibt drei Nachrichtentypen (oder Befehlstypen), die die Bots vom C&C erhalten und die sich durch das Byte msgtype im Header unterscheiden“, schreiben die Forscher in ihrem Blog. „Das sind: Start Proxybackconnect, Sleep und Start DDoS; letztgenannter Befehl definiert auch den DDoS-Angriffstyp: HTTP flood (wenn die ersten Bytes der Mitteilung den String http:/ enthalten) oder UDP flood (wenn der String http:/ fehlt). „Bedenkt man den Umfang der Necurs-Botnetze (das größte unter ihnen stellt mehr als eine Million aktiver IP innerhalb von 24 Stunden bereit), so wird deutlich, dass selbst die einfachste Technik einen gewaltigen Strom erzeugen kann“, betont Pereira.

„Eine HTTP-Attacke beginnt mit 16 Threads, die eine Endlosschleife an http-Anfragen auslösen“, heißt es im Blogeintrag von Anubis. „Eine Attacke des Typs UDP flood wird durch das wiederholte Versenden einer willkürlichen Payload mit einer Größe zwischen 128 und 1024 Byte umgesetzt.“

Quelle: Threatpost

Botnet Necurs eignet sich DDoS-Tricks an

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach