Infos

Le botnet Necurs a assimilé les astuces des attaques DDoS

Des chercheurs de chez AnubisNetworks (qui appartient à la société BitSight) ont fait part d’une nouvelle découverte : Necurs s’est doté en septembre d’un nouveau module qui lui confère de nouvelles fonctions de communication avec un centre de commande et lui permet d’organiser des attaques DDoS à l’aide d’un réseau de zombies exploité principalement pour diffuser du spam malveillant.

D’après Tiago Pereira, analyste en virus de Anubis Labs, le réseau de zombies Necurs, bâti à l’aide du malware homonyme, compte 1 millions d’ordinateurs personnels Windows infectés qui sont impliqués dans des activités malveillantes. Comme l’explique l’expert, « Necurs est un malware modulaire qu’un individu malintentionné peut utiliser à diverses fins. Dans cet exemplaire, nous avons détecté un nouveau module qui permet de réaliser de mettre un proxy en place via SOCKS/HTTP et qui offre une fonction DDoS ».

Il y a environ 6 mois, des chercheurs ont remarqué que Necurs utilisait non seulement le port 80 à des fins de communication, mais qu’il utilisait également un autre port et un autre protocole lorsqu’il sollicite un bloc d’adresses IP distinct. La rétroingénierie de l’échantillon a démontré qu’il contenait un module proxy SOCKS/HTTP rudimentaire à première vue chargé des communications avec le centre de commande.

« Après avoir analysé les commandes envoyées par le centre de commande au bot, nous avons détecté une nouvelle commande qui entraîne l’envoi via le bot de requêtes HTTP et UDP à une cible aléatoire dans le cadre d’une boucle sans fin. Tout semble indiquer une véritable attaque DDoS » écrivent les chercheurs. Ils ajoutent que pour l’instant, aucune attaque DDoS organisée à l’aide du réseau de zombies Necurs n’a été détectée « dans la nature ». Entretemps, les versions mises à jour des bots ont commencé à être utilisées en tant que serveurs proxy (HTTP, SOCKSv4, SOCKSv5) et ils peuvent fonctionner selon deux modes : proxy direct et proxy back-connect.

Les chercheurs indiquent dans leur blog qu’il « existe trois types de messages (ou commandes) envoyées aux bots depuis le serveur de commande. Celles-ci se distinguent par l’octet msgtype de l’en-tête ». Il s’agit de Start Proxybackconnect, Sleep et Start DDoS ; cette dernière détermine également le type de DDoS : HTTP flood (si les premiers octets du message contiennent la ligne http:/) ou UDP flood (si la ligne http:/ manque). « Vu la taille des réseaux de zombies Necurs (le plus grand d’entre eux compte plus d’un million d’adresses IP actives par jour), la technique la plus élémentaire peut engendrer un flux imposant » souligne Tiago Pereira.

Le blog d’Anubis indique que « l’attaque HTTP est organisée à l’aide de 16 flux, avec un cycle continu de requêtes HTTP. L’attaque UDP flood se déroule en répétant l’envoi d’une charge utile aléatoire comprise entre 128 et 1 024 octets ».

Source : Threatpost

Le botnet Necurs a assimilé les astuces des attaques DDoS

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception