Das Necurs-Botnetz entwickelt sich und enthält nun ein DDoS-Modul

Das Necurs-Botnetz entwickelt sich und Experten haben neulich entdeckt, dass es verbessert wurde, um DDoS-Angriffe durchzuführen.

Das Necurs-Botnetz entwickelt sich und Experten haben neulich entdeckt, dass es verbessert wurde, um DDoS-Angriffe durchzuführen.

Das Necurs-Botnetz entwickelt sich stets weiter und wurde kürzlich von Betrügern verwendet, um nicht nur das gefürchtete Locky-Ransomeware zu verbreiten, sondern es wurde auch für das Durchführen von DDoS-Angriffe ausgelegt.

Laut den Forscher der BitSights Anubis Labs, welche das Necurs-Botnetz überwachen, wurde die Malware im September modifiziert und beinhaltet nun ein Modul, welches DDoS-Fähigkeiten implementiert, sowie neue Proxy Command-und-Control-Kommunikationseigenschaften besitzt.

Das Necurs-Botnetz ist einer der größten böswilligsten Architekturen der Welt und wurde verwendet um die gefürchtete Bedrohung, welche seit dem 1. Juni untertauchte, zu verbreiten.

Als es erstmals Anfang 2015 entdeckt wurde, hatten Experten die bösartige Infrastruktur als hoch komplex und effizient klassifiziert, „Ein Meisterstück der Kriminalität“.

Im Oktober 2015 zerstörte eine internationale Zusammenarbeit der Strafverfolgungsbehörden, inklusive des FBI und der NCA, das Botnetz. Es wurde jedoch wiederbelebt und hauptsächlich verwendet, um das Locky-Ransomware zu verbreiten. Experten nannten es Necurs und bestätigten es als das größte Botnetz der Welt.

„Necurs ist eine modulare Malware, welche für vielfältige Zwecke verwendet werden kann. Das neue an dem Beispiel, welches wir gefunden haben, ist die Ergänzung eines Modules, welches SOCKS/HTTP-Proxy- und DDoS-Fähigkeiten zu der Malware hinzufügt“ erklärte Tiago Pereira, Bedrohungsintelligenzforscher bei Anubis Labs.

Vor circa 6 Monaten entdeckten Pereira und sein Team, dass abseits den gewöhnlichen Port 80 Kommunikationen, ein System komprimiert bei der Necurs-Malware mit einer Rheie von IP-Adressen durch unterschiedlichen Ports mit unterschiedlichen Protokollen kommuniziert.

Die Forscher haben die Malware reverse-engineered und ein einfaches SOCKS/HTTP-Proxy-Module für die Kommunikation zwischen den Bot und den Command-und-Control-Server entdeckt.

„Als wir überprüften welche Befehle der Bot von der C2 akzeptiert, konnten wir feststellen, dass ein zusätzlicher Befehl existierte, welcher den Bot dazu brachte HTTP- oder UDP-Anforderungen in einer endlosen Schleife an einem willkürlichen Ziel zu versenden, welches lediglich als ein DDoS-Angriff erklärt werden kann“ erklärte die Analyse, veröffentlicht von Pereira weiter.

Die Forscher haben keinen Nachweis, dass Bedrohungsakteure das Necurs-Botnetz für DDoS-Angriffe verwendet haben.

„Bitte beachten Sie, dass wir noch nicht festgestellt haben, dass Necurs tatsächlich für DDoS-Angriffe verwendet wurde. Wir haben einfach gesehen, dass die Fähigkeit in einer der Module, welche es lädt, besteht“ sagte Pereira.

Die Bots wurden als Proxies (HTTP, SOCKSv4, und SOCKSv5 Protokolle) bei Anwendern verwendet, welche die Verbindungen durch sie via „direct proxy“ und „proxy backconnect“ Modus weiterleitet.

„Als Antwort zum Signal gibt es auch 3 verschiedene Arten von Nachrichten (oder Befehle) versandt vom C2 zum Bot, welche sich durch das msgtype-Byte im Header unterscheiden:“

  • Start Proxybackconnect (msgtype 1);
  • Sleep (msgtype 2);
  • Start DDOS (msgtype 5) that includes HTTPFlood and UDPFlood modes.

Die Forscher betonten, dass eine bösartige Architektur in der Größe vom Necurs-Botnetz sehr gefährlich sein kann, da große Volumen an Traffic generiert werden können.

„Die HTTP-Angriffe funktionieren indem 16 Threads angefangen werden, welche endlose Schleifen von HTTP-Anforderungen ausführen… Der UDP-Flutangriff funktioniert durch wiederholten Versand von zufälligen Payloads mit Größen zwischen 128 und 1024 Bytes“ liest der Bericht.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini