Исследователи из AnubisNetworks (собственность компании BitSight) поделились новым открытием: в сентябре у Necurs появился новый модуль, привнесший новые функции C&C-связи и возможность проведения DDoS-атак с ботнета, используемого в основном для рассылки вредоносного спама.

По словам Тьяго Перейры (Tiago Pereira), вирусного аналитика из Anubis Labs, в настоящее время в состав ботнета Necurs, построенного на основе одноименного зловреда, входит 1 млн зараженных ПК Windows, проявляющих вредоносную активность. «Necurs — это модульная вредоносная программа, которую можно использовать для многих разных нужд, — говорит эксперт. — В этом образце мы обнаружили новый модуль, добавляющий возможность проксирования по SOCKS/HTTP и DDoS-функциональность».

Около полугода назад исследователи заметили, что помимо порта 80, обычно используемого Necurs для коммуникаций, этот зловред использует другой порт и другой протокол, когда запрашивает некий блок IP-адресов. Обратный инжиниринг сэмпла показал, что тот содержит простейший на первый взгляд прокси-модуль SOCKS/HTTP, ответственный за связь с C&C-сервером.

«Когда мы просмотрели команды, получаемые ботом с C&C, стало понятно, что появилась новая команда, по которой бот начинает посылать HTTP- или UDP-запросы на произвольную мишень, входя в бесконечный цикл, и выглядит это как настоящая DDoS-атака», — пишут исследователи, подчеркивая, что в дикой природе DDoS-атак с ботнета Necurs они пока не наблюдали. В то же время обновленные боты начали использоваться как прокси-серверы (HTTP, SOCKSv4, SOCKSv5), и в этом качестве они способны работать в двух режимах — прямого проксирования и обратного.

«Существует три типа сообщений (или команд), направляемых ботам с C&C и различаемых по байту msgtype в заголовке», — пишут исследователи в блоге. Это Start Proxybackconnect, Sleep и Start DDoS; последняя также определяет тип DDoS: HTTP flood (если первые байты сообщения содержат строку http:/) или UDP flood (если строка http:/ отсутствует). «С учетом размера ботнетов Necurs (самый большой из них предоставляет свыше 1 млн активных IP в сутки) даже самая элементарная техника может породить очень мощный поток», — подчеркивает Перейра.

«HTTP-атака осуществляется 16 потоками, при этом выполняется бесконечный цикл запросов HTTP, — сказано в блог-записи Anubis. — Атака UDP flood производится повторением отправки произвольной полезной нагрузки размером от 128 до 1024 байт».

Категории: Аналитика, Вредоносные программы