Le botnet Necurs a assimilé les astuces des attaques DDoS

Des chercheurs de chez AnubisNetworks (qui appartient à la société BitSight) ont fait part d’une nouvelle découverte : Necurs s’est doté en septembre d’un nouveau module qui lui confère de nouvelles fonctions de communication avec un centre de commande et lui permet d’organiser des attaques DDoS à l’aide d’un réseau de zombies exploité principalement pour diffuser du spam malveillant.

D’après Tiago Pereira, analyste en virus de Anubis Labs, le réseau de zombies Necurs, bâti à l’aide du malware homonyme, compte 1 millions d’ordinateurs personnels Windows infectés qui sont impliqués dans des activités malveillantes. Comme l’explique l’expert, « Necurs est un malware modulaire qu’un individu malintentionné peut utiliser à diverses fins. Dans cet exemplaire, nous avons détecté un nouveau module qui permet de réaliser de mettre un proxy en place via SOCKS/HTTP et qui offre une fonction DDoS ».

Il y a environ 6 mois, des chercheurs ont remarqué que Necurs utilisait non seulement le port 80 à des fins de communication, mais qu’il utilisait également un autre port et un autre protocole lorsqu’il sollicite un bloc d’adresses IP distinct. La rétroingénierie de l’échantillon a démontré qu’il contenait un module proxy SOCKS/HTTP rudimentaire à première vue chargé des communications avec le centre de commande.

« Après avoir analysé les commandes envoyées par le centre de commande au bot, nous avons détecté une nouvelle commande qui entraîne l’envoi via le bot de requêtes HTTP et UDP à une cible aléatoire dans le cadre d’une boucle sans fin. Tout semble indiquer une véritable attaque DDoS » écrivent les chercheurs. Ils ajoutent que pour l’instant, aucune attaque DDoS organisée à l’aide du réseau de zombies Necurs n’a été détectée « dans la nature ». Entretemps, les versions mises à jour des bots ont commencé à être utilisées en tant que serveurs proxy (HTTP, SOCKSv4, SOCKSv5) et ils peuvent fonctionner selon deux modes : proxy direct et proxy back-connect.

Les chercheurs indiquent dans leur blog qu’il « existe trois types de messages (ou commandes) envoyées aux bots depuis le serveur de commande. Celles-ci se distinguent par l’octet msgtype de l’en-tête ». Il s’agit de Start Proxybackconnect, Sleep et Start DDoS ; cette dernière détermine également le type de DDoS : HTTP flood (si les premiers octets du message contiennent la ligne http:/) ou UDP flood (si la ligne http:/ manque). « Vu la taille des réseaux de zombies Necurs (le plus grand d’entre eux compte plus d’un million d’adresses IP actives par jour), la technique la plus élémentaire peut engendrer un flux imposant » souligne Tiago Pereira.

Le blog d’Anubis indique que « l’attaque HTTP est organisée à l’aide de 16 flux, avec un cycle continu de requêtes HTTP. L’attaque UDP flood se déroule en répétant l’envoi d’une charge utile aléatoire comprise entre 128 et 1 024 octets ».

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *