Necurs 僵尸网络不断发展，新增 DDoS 攻击模块

近日，BitSight 的 Anubis 实验室发现，Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一，主要用于发送垃圾邮件活动，而 Necurs 则是一种恶意软件，用于传播各种致命威胁如勒索软件“ Locky ”。

大约六个月前，Pereira 和他的团队发现，除了通常用于通信的 80 端口之外，恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析，研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信，其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。

C&C 发送给肉鸡的三种命令类型，按头部中 msgtype 字节来区分：
○ 启动 Proxybackconnect（ msgtype 1）;
○ 睡眠（ msgtype 2）;
○ 启动 DDOS（ msgtype 5），包括 HTTPFlood 和 UDPFlood 模式。

HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。

目前，研究人员还未发现 Necurs 被用于 DDOS 攻击，只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过，基于 Necurs 僵尸网络现有的规模，产生的 DDoS 攻击流量将会相当大。

本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。