SecurityLab.ru 27 февраля 2017

Ботнет Necurs получил функции для осуществления DDoS-атак

Фото: Новости ИТ
Печально известный ботнет Necurs, используемый злоумышленниками для рассылки фишинговых писем с вредоносным ПО Locky, получил новые функции. Как сообщает исследователь компании Anubis Labs Тьяго Перейра (Tiago Pereira), теперь с помощью Necurs киберпреступники могут осуществлять DDoS-атаки.
По данным Перейры, вредоносное ПО Necurs получило ответственный за DDoS-атаки модуль и новую функцию подключения к C&C-серверу через прокси. Хотя модуль был добавлен еще несколько месяцев назад, в настоящее время злоумышленники не используют его.
В сентябре прошлого года эксперты Anubis Labs обратили внимание на то, что помимо обычного подключения через порт 80, зараженные Necurs системы подключались к ряду IP-адресов через другой порт и по другому протоколу. В результате реверс-инжиниринга вредоносного кода был обнаружен простой модуль прокси SOCKS/HTTP для подключения Necurs к C&C-серверу.
Операторы ботнета используют ботов для передачи данных по протоколам HTTP, SOCKSv4 и SOCKSv5 в качестве прямых и backconnect прокси. От C&C-сервера боты получают три команды — запустить Proxybackconnect, включить спящий режим или начать DDoS-атаку. Команда начать DDoS-атаку предусматривает два режима — HTTP-флуд и UDP-флуд. Если первой строкой полученного ботом сообщения будет «http:/», вредонос начнет DDoS-атаку с использованием HTTP-флуда. В противном случае будет инициирована атака с использованием UDP-флуда.
Комментарии
Читайте также
В Китае показали домашних роботов
Робомуха впервые полетела без проводов
UEone: зарядки для электромобилей, «прячущиеся» в тротуар
Бриллианты удешевили МРТ