Ботнет necurs получил функции для осуществления ddos-атак

Тема в разделе "Новости из СМИ", создана пользователем news_bot, 27 фев 2017.

  1. TopicStarter Overlay
    news_bot

    news_bot Новостной бот sindicat_bot

    Регистрация:
    4 дек 2016
    Сообщения:
    1.563
    Симпатии:
    4
    Репутация:
    0
    Ботнет Necurs получил функции для осуществления DDoS-атак
    [​IMG]

    Печально известный ботнет Necurs, используемый злоумышленниками для рассылки фишинговых писем с вредоносным ПО Locky, получил новые функции. Как сообщает исследователь компании Anubis Labs Тьяго Перейра (Tiago Pereira), теперь с помощью Necurs киберпреступники могут осуществлять DDoS-атаки.
    По данным Перейры, вредоносное ПО Necurs получило ответственный за DDoS-атаки модуль и новую функцию подключения к C&C-серверу через прокси. Хотя модуль был добавлен еще несколько месяцев назад, в настоящее время злоумышленники не используют его.
    В сентябре прошлого года эксперты Anubis Labs обратили внимание на то, что помимо обычного подключения через порт 80, зараженные Necurs системы подключались к ряду IP-адресов через другой порт и по другому протоколу. В результате реверс-инжиниринга вредоносного кода был обнаружен простой модуль прокси SOCKS/HTTP для подключения Necurs к C&C-серверу.
    Операторы ботнета используют ботов для передачи данных по протоколам HTTP, SOCKSv4 и SOCKSv5 в качестве прямых и backconnect прокси. От C&C-сервера боты получают три команды – запустить Proxybackconnect, включить спящий режим или начать DDoS-атаку. Команда начать DDoS-атаку предусматривает два режима – HTTP-флуд и UDP-флуд. Если первой строкой полученного ботом сообщения будет «http:/», вредонос начнет DDoS-атаку с использованием HTTP-флуда. В противном случае будет инициирована атака с использованием UDP-флуда.