Botnet Necurs eignet sich DDoS-Tricks an

Die Forscher von AnubisNetworks (ein BitSight Unternehmen) haben ihre neuste Entdeckung veröffentlicht: Im September wurde Necurs mit einem neuen Modul ausgestattet, das neue Funktionen der C&C-Verbindung und die Möglichkeit zur Durchführung von DDoS-Attacken über das Botnetz, das in erster Linie für den Spam-Versand benutzt wird, mit sich brachte.

Laut Angaben von Tiago Pereira, Virenanalyst bei Anubis Labs, umfasst das Botnet Necurs, das aus dem gleichnamigen Schädling aufgebaut ist, zum gegenwärtigen Zeitpunkt 1 Million infizierte Windows-PCs, die schädliche Aktivität erkennen lassen. „Necurs ist ein modulares Schadprogramm, das für verschiedene Bedürfnisse eingesetzt werden kann“, sagt der Experte. „In diesem Sample haben wir ein neues Modul entdeckt, das den Bots die zusätzliche Möglichkeit bietet, über SOCKS/HTTP als Proxy-Server zu fungieren und das mit DDoS-Funktionalität ausgestattet ist.“

Vor etwa einem halben Jahr fiel den Forschern auf, dass der Schädling neben dem Port 80, den Necurs üblicherweise für die Kommunikation verwendet, noch einen anderen Port und ein anderes Protokoll benutzt, während er mit einem gewissen IP-Adressen-Block kommuniziert. Ein Reverse-Engineering des Samples hat gezeigt, dass es ein auf den ersten Blick äußerst simples SOCKS/http-Proxymodul enthält, das für die Verbindung mit dem C&C-Server verantwortlich ist.

„Als wir uns die Befehle genauer anschauten, die die Bots vom C&C akzeptieren, stellten wir fest, dass ein neuer Befehl aufgetaucht war, über den ein Bot beginnt HTTP- oder UDP-Anfragen in einer Endlosschleife an ein willkürliches Ziel zu stellen, was wie eine echte DDoS-Attacke aussieht“, schreiben die Forscher und betonen dabei, dass sie bisher in „freier Wildbahn“ noch keine vom Botnetz Necurs ausgehende DDoS-Attacke beobachten konnten. Zur gleichen Zeit wurden die aktualisierten Bots plötzlich als Proxy-Server eingesetzt (HTTP, SOCKSv4, SOCKSv5), und in dieser Funktion können sie in zwei Modi laufen: direkter Proxy und Reverse Proxy.

„Es gibt drei Nachrichtentypen (oder Befehlstypen), die die Bots vom C&C erhalten und die sich durch das Byte msgtype im Header unterscheiden“, schreiben die Forscher in ihrem Blog. „Das sind: Start Proxybackconnect, Sleep und Start DDoS; letztgenannter Befehl definiert auch den DDoS-Angriffstyp: HTTP flood (wenn die ersten Bytes der Mitteilung den String http:/ enthalten) oder UDP flood (wenn der String http:/ fehlt). „Bedenkt man den Umfang der Necurs-Botnetze (das größte unter ihnen stellt mehr als eine Million aktiver IP innerhalb von 24 Stunden bereit), so wird deutlich, dass selbst die einfachste Technik einen gewaltigen Strom erzeugen kann“, betont Pereira.

„Eine HTTP-Attacke beginnt mit 16 Threads, die eine Endlosschleife an http-Anfragen auslösen“, heißt es im Blogeintrag von Anubis. „Eine Attacke des Typs UDP flood wird durch das wiederholte Versenden einer willkürlichen Payload mit einer Größe zwischen 128 und 1024 Byte umgesetzt.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.