La botnet Necurs aprendió trucos DDoS

Los investigadores de AnubisNetworks (de la empresa BitSight) compartieron un nuevo descubrimiento: en septiembre, Necurs adquirió un nuevo módulo, que tienen nuevas funciones de comunicación con el servidor de administración y la posibilidad de hacer ataques DDoS desde la botnet, usada principalmente para la distribución de spam malicioso.

Según Thiago Pereira, analista de virus de Anubis Labs, en este momento la botnet Necurs, creada sobre la base del malware homónimo, consta de un millón de equipos con Windows que muestran tener actividades maliciosas. “Necurs es un programa malicioso modular que se puede utilizar para diversos propósitos”, dice el experto. “En este ejemplar hemos descubierto un nuevo módulo que añade capacidades de proxy SOCKS/ HTTP y funciones DDoS”.

Hace unos seis meses, los investigadores notaron que además del puerto 80, que Necurs suele usar para establecer conexiones, este malware utiliza otro puerto y un protocolo diferente al solicitar un bloque de direcciones IP. La ingeniería inversa del ejemplar mostró que contiene un módulo proxy SOCKS / HTTP, simplísimo a primera vista, que es responsable de la comunicación con el servidor de administración.

“Cuando analizamos los comandos recibidos por el bot desde el servidor de administración, se hizo evidente que había un nuevo comando, que hace que el robot comience a enviar solicitudes HTTP o UDP a un objetivo arbitrario, y provoca que entre en un bucle infinito, similar a un verdadero ataque DDoS”, escriben los investigadores, subrayando que en condiciones reales todavía no han visto ataques DDoS lanzados desde la botnet Necurs. Al mismo tiempo, se empezó a usar los bots actualizados como servidores proxy (HTTP, SOCKSv4, SOCKSv5) capaces de funcionar en dos modos: como servidores directos e inversos.

“Hay tres tipos de mensajes (o comandos) que el servidor de administración envía a los bots y que se diferencian por el byte msgtype en sus encabezados”, escriben los investigadores en el blog. Nos referimos a Proxybackconnect, Sleep y Start DDoS. El último también determina el tipo de DDoS: HTTP flood (si los primeros bytes del mensaje contienen la cadena http: /) o UDP flood (si la cadena es http:/ está ausente). “Teniendo en cuenta el tamaño de las botnets Necurs (el mayor de ellos proporciona más de un millón de direcciones IP activas por día), hasta la técnica más elemental puede generar un flujo muy poderoso”, hace hincapié Pereira.

“El ataque HTTP se realiza mediante 16 flujos, con un bucle infinito de peticiones HTTP”, se afirma en el blog de Anubis. El ataque de saturación UDP se realiza mediante la repetición del envío del tamaño de una carga útil arbitraria de 128 a 1024 bytes”.

Fuentes: Threatpost