近日,BitSight 的 Anubis 实验室发现,Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一,主要用于发送垃圾邮件活动,而 Necurs 则是一种恶意软件,用于传播各种致命威胁如勒索软件“ Locky ”。
大约六个月前,Pereira 和他的团队发现,除了通常用于通信的 80 端口之外,恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析,研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信,其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。
C&C 发送给肉鸡的三种命令类型,按头部中 msgtype 字节来区分:
○ 启动 Proxybackconnect( msgtype 1);
○ 睡眠( msgtype 2);
○ 启动 DDOS( msgtype 5),包括 HTTPFlood 和 UDPFlood 模式。HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。
目前,研究人员还未发现 Necurs 被用于 DDOS 攻击,只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过,基于 Necurs 僵尸网络现有的规模,产生的 DDoS 攻击流量将会相当大。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册