La botnet Necurs adesso è in grado di lanciare attacchi DDoS
Necurs, botnet controllata da un botmaster e composta da dispositivi infettati da malware è attiva e pronta per lanciare attacchi DDoS
Cosa è una Botnet
Una botnet è una rete controllata da un botmaster e composta da dispositivi infettati da malware specializzato, detti bot o zombie.
I dispositivi connessi ad Internet al cui interno sussistono vulnerabilità nella loro infrastruttura di sicurezza informatica possono talvolta diventare parte della botnet, e, se l’agente infettante è un trojan, il botmaster può controllare il sistema tramite accesso remoto. I computer così infettati, possono scagliare attacchi, denominati, Distributed Denial of Service contro altri sistemi e/o compiere altre operazioni illecite, in taluni casi persino su commissione di organizzazioni criminali.
Come funziona una Botnet
Tali malware/trojan specializzati, non appena hanno assunto il controllo del sistema, devono poter fornire al proprio autore i dati fondamentali relativi al sistema infettato. Per fare ciò spesso sfruttano, per fornire un’accesso esclusivo all’autore, i canali IRC connettendosi ad un canale privato protetto da password. Tramite il canale di chat l’autore è in grado di controllare contemporaneamente tutti i sistemi infetti in ascolto sul canale, i quali possono essere anche decine di migliaia, e di impartire a questi ordini, richiedendo immagini dello schermo, indirizzo IP o, ad esempio, fornendo l’hostname/IP di una vittima da attaccare tramite DDoS. I botmaster possono anche controllare i computer zombie tramite le sofisticate reti peer-to-peer , persino con Skype, e quindi con protocolli binari e crittografati. Se il bersaglio si trova dietro un firewall ben configurato , per eludere i controlli, è anche possibile che venga usato il protocollo HTTP/HTTPS, dato che la porta 80 è si trova nella whitelist dei firewall di quasi tutti gli utenti: il collegamento sfrutta un server intermedio specializzato che supporta il protocollo direttamente o lo usa come incapsulamento per altri protocolli che devono restare nascosti.
Questi malware sono spesso programmati in modo da spiare il sistema infetto come se fossero spyware, intercettando password ed altre informazioni private ma utili all’attaccante. Possono anche offrire accesso alle macchine infette tramite backdoor oppure offrire servizi proxy che garantiscono l’anonimato in rete a discapito della banda della rete infetta.
Un uso più sofisticato delle botnet è come proxy verso un sistema compromesso: i bot infatti spesso vengono ripuliti dal malware, ma se l’attaccante installa un server su una di queste macchine e ne perde il controllo il danno per lui può essere rilevante. Per ridurre queste penalità, una tecnica usata recentemente è quella del fastflux in cui una macchina fuori dalla botnet fa girare un finto server (per esempio per fare dello spoofing) e le macchine della botnet fungono solo da proxy verso questa macchina.
Con l’aumentare del numero di sistemi compromessi, l’attaccante può sfruttare sempre più potenza di calcolo al fine di indovinare le password dei sistemi che prima risultavano impervi tramite il calcolo distribuito.
Necurs – The Botnet
Con oltre 6 milioni di computer sotto il suo controllo, Necurs è una delle più grandi botnet attive sul pianeta. Negli scorsi mesi è stata utilizzata per diffondere Locky, uno dei ramsoware più pericolosi in circolazione, e Dridex, un trojan progettato per sottrarre le credenziali dei servizi di home banking particolarmente diffuso in USA e Gran Bretagna. Alla fine dello scorso mese di maggio del 2016, però, Necurs era inspiegabilmente sparita dai radar.
Ora i ricercatori di Proofpoint hanno rilevato una ripresa delle attività, che a quanto pare ricominciano da dove si erano fermate: dall’invio di milioni di email infette.
A partire dal 21 giugno del 2016 l’organizzazione criminale che gestisce Necurs ha ripreso infatti a utilizzare i computer zombie sotto il suo controllo per diffondere una nuova versione di Locky.
I ricercatori di AnubisNetworks (società appartenente a BitSight) hanno di recente condiviso una nuova scoperta: nello scorso mese di settembre, il malware Necurs ha acquisito un nuovo modulo, che reca nuove funzionalità per quel che riguarda le comunicazioni C&C, ed offre la possibilità di condurre attacchi DDoS attraverso la botnet in questione, utilizzata, principalmente, per l’invio di spam nocivo.
Secondo Tiago Pereira, virus analyst presso Anubis Labs, fanno attualmente parte della composizione della botnet Necurs, costruita sulla base dell’omonimo malware, 1 milione di PC Windows infetti, preposti allo svolgimento di attività dannose. “Necurs è un programma malware di tipo modulare, che può essere utilizzato per vari scopi malevoli, – afferma l’esperto. – Nel sample da noi esaminato abbiamo individuato un nuovo modulo, il quale, di fatto, aggiunge al malware in causa sia funzionalità proxy SOCKS/HTTP, sia specifiche funzionalità DDoS”.
Tempo fa, i ricercatori avevano rilevato che, oltre alla porta 80, abitualmente utilizzata da Necurs per le comunicazioni, questo software maligno fa uso di un’altra porta e di un altro protocollo, nel momento in cui richiede un determinato blocco di indirizzi IP. Il reverse engineering eseguito sul sample ha evidenziato che quest’ultimo contiene un modulo proxy SOCKS/HTTP, in apparenza tutt’altro che sofisticato, per non dire elementare, adibito alle comunicazioni con il server C&C.
“Quando abbiamo analizzato i comandi che il bot riceve dal proprio C&C, è chiaramente emersa la presenza di un nuovo comando, in base al quale il bot inizia ad inviare richieste HTTP o UDP ad un target arbitrario, in loop continuo; questo appare essere, a tutti gli effetti, un vero e proprio attacco DDoS”, – scrivono i ricercatori, sottolineando tuttavia come, per il momento, non siano stati ancora osservati, in-the-wild, assalti DDoS provenienti dalla botnet Necurs. Allo stesso tempo, comunque, i proprietari delle botnet hanno iniziato ad utilizzare i bot, “opportunamente” aggiornati, in qualità di proxy server (HTTP, SOCKSv4, SOCKSv5); sotto tale veste, i bot sono in grado di operare con due diverse modalità: direct proxy e proxy backconnect.
“Esistono tre tipi di messaggi (o comandi) inviati ai bot dai relativi C&C, e distinguibili in base al byte msgtype presente nell’intestazione”, – scrivono i ricercatori sul blog. Si tratta, più precisamente, di Start Proxybackconnect, Sleep e Start DDoS; quest’ultimo definisce ugualmente la specifica tipologia DDoS messa in atto: HTTPflood (se i primi byte del messaggio contengono la stringa http:/) o UDPflood (se, invece, la stringa http:/ risulta assente). “Considerando le dimensioni delle botnet Necurs (la più estesa di esse conta oltre 1 milione di IP attivi nell’arco delle ventiquattro ore), persino le tecnologie più elementari possono generare un flusso davvero molto potente”, – sottolinea Tiago Pereira.
“L’attacco HTTP viene realizzato mediante 16 diversi thread, i quali effettuano richieste HTTP in loop continuo, – si riferisce nel blog post pubblicato da Anubis. – L’attacco UDPflood viene invece condotto ripetendo l’invio di un payload arbitrario, le cui dimensioni vanno da 128 a 1024 byte”.
Termini di ricerca ricorrenti: creare botnet – creare una botnet – botnet ddos – botnet mirai – botnet a cosa serve – botnet online – botnet download – a cosa serve un botnet – Necurs botnet – cosa è Necurs
