Peneliti mengatakan Mengingat ukuran botnet Necurs, jika digunakan untuk DDOS menyerang kerusakan bisa lebih besar,
Necurs botnet, yang dikenal untuk mengirimkan kampanye spam yang besar, termasuk ransomware Locky yang telah menginfeksi komputer yang tak terhitung jumlahnya, mungkin segera berubah menjadi alat DDOS.
Menurut sebuah studi baru dari AnubisNetworks Labs, Necurs bukan hanya spambot, itu sepotong modular dari malware yang terdiri dari modul bot utama, rootkit userland dan dinamis dapat memuat modul tambahan.
"Sekitar enam bulan yang lalu kami melihat bahwa selain komunikasi biasa port 80, sistem yang terinfeksi Necurs berkomunikasi dengan satu set IP pada port yang berbeda menggunakan, apa yang tampaknya menjadi, sebuah protokol yang berbeda," peneliti menjelaskan.
Sementara mendekripsi komunikasi C2 dari bot Necurs, permintaan untuk memuat dua modul yang berbeda sudah diketahui, masing-masing dengan parameter yang berbeda. Salah satunya adalah modul spam yang biasa dikenal Necurs untuk, sedangkan yang kedua adalah salah satu yang tidak diketahui sampai saat itu. Melihat pada bulan September 2016, modul mungkin telah ada sejak Agustus berdasarkan timestamp pada kompilasi. Hal ini dimungkinkan, bagaimanapun, bahwa versi lain telah dikerahkan sebelumnya dan tanpa diketahui.
Setelah sedikit bekerja pada modul tertentu, peneliti menyadari ada perintah yang akan menyebabkan bot te untuk mulai membuat HTTP atau permintaan UDP untuk target dalam lingkaran tak berujung - serangan DDOS.
Ukuran Besar dampuk pun Lebih Besar.
"Hal ini sangat menarik mengingat ukuran botnet Necurs (yang terbesar, di mana modul ini sedang dimuat, memiliki lebih dari 1 juta infeksi aktif setiap 24 jam). Sebuah botnet ini besar kemungkinan dapat menghasilkan serangan DDOS sangat kuat," catatan peneliti.
Bahkan, Necurs adalah botnet yg jauh lebih besar daripada Mirai, dan mengingat kerusakan yang dilakukan oleh alat tertentu, kita hanya bisa membayangkan dampak yang satu ini yang dimiliki jika dikerahkan.
modul berisi dua mode serangan DDOS dasar yang tidak memiliki fitur khusus seperti alamat asal IP spoofing atau teknik amplifikasi. Serangan HTTP bekerja dengan memulai permintaan16 thread dan melakukan lingkaran tak berujung.
Para peneliti belum melihat Necurs digunakan untuk serangan DDOS, hanya yang memiliki kemampuan dalam salah satu modul yang telah dimuat.
0komentar:
Post a Comment