保证人 Botnet采用新策略来逃避检测

保证人 Botnet继续发展,一个新的策略旨在隐藏在阴影中,并利用新的有效载荷来招募新机器人。

保证人 Botnet. 是目前的 第二大垃圾邮件僵尸网络,它自从2012年以来一直活跃,并且参与了庞大的广告系列传播恶意软件,如 锁定的赎金, 这 Scarab赎金瓶,而且 Dridex银行木马。
根据专家, 保证人 僵尸网络目前由大约570,000个机器人组成,其中大多数在印度,印度尼西亚,越南,土耳其和伊朗。据估计,野外有大约90,000“孤儿”Necurs机器人。

这 保证人 僵尸网络在2017年初并不长时间活跃 恢复 它在2017年4月的活动使用新技术观察到避免检测。

现在 保证人 已使用新的逃避技术发现,这允许其运营商向僵尸网络招募更多机器人。

根据黑色莲花实验室的专家,电信和ISP提供商Centurylink的划分,Necurs运营商定期关闭其命令和控制(C2)基础设施的细分。由于5月份,C2在下降两周后大约三周,然后再次上升。

“从网络的角度来看,黑色莲花实验室继续看到C2基础设施脱落的僵尸网络不活动的周期,并在线回来。” reads a 博客帖子 由公司发布。

“有时,他们已被称为不活跃数周。最近,C2S最近四个月的大部分时间都已经离线了,每周大约一段时间就在线上线。”

成千上万的孤​​儿机器人的存在是令人担忧的,在任何时候都可以在僵尸网络中招募必要的行动。

“Necurs是僵尸网络的多元池,从运营的垃圾邮件僵尸网络交换,提供银行木马和赎金软件,以开发代理服务,以及黑莲花实验室头部的迈克本杰明解释说。 “Necurs的定期节奏是暗的,避免检测,重新再次向感染的主机发送新命令,然后再次变暗。这种技术是Necurs能够扩展到世界各地超过半百万个机器人的原因之一。“

黑色莲花还观察到僵尸网络运营商使用的有效载荷的演变。

“最近,Necurs已经看到推出敏捷者和老鼠,就像 奥兹兰特 Flawedammyy,基于受感染主机上的特定信息和部署新的复杂的.NET垃圾邮件模块,针对主机,该模块可以使用受害者的电子邮件帐户发送垃圾邮件。”继续博客帖子。“这些新能力代表了Necurs犯下了矛网络钓鱼,金融罪和间谍活动的能力的显着增加。“

Centurylink描述了它在尝试陷入Necurs僵尸网络时的努力,然而,操作并不简单,因为恶意基础设施利用域生成算法(DGA)来混淆避免挖掘。

“当Necurs运算符注册DGA域时通知新C2的机器人,域没有指向新C2主机的真实IP地址,”专家解释说。 “相反,C2的实际IP地址被滥用,以基本上是加密算法。然后,机器人将“解密”滥用IP地址并联系新C2。这可以防止研究人员能够简单地通过查询DGA域来识别新的C2S,但更重要的是,研究人员难以沉入这些DGA域名。“

专家指出,DGA是一个双刃剑,因为允许安全研究人员分析DNS和网络流量以枚举机器人。

“尽管使Necurs Botnet完全难以完全努力,但它的使用DGA是一把双刃剑。由于它将使用的DGA域提前已知,因此安全研究人员可以使用Sinkholing DGA域的方法以及分析DNS和网络流量,以枚举其机器人和C2基础设施,使其能够减轻该进取僵尸网络的大部分潜在损坏。” concludes the post.

“Centurylink除了通知其他网络所有者有助于保护互联网的其他网络所有者,还采取了措施降低客户对客户的风险。然而,Necurs的能力和其全球分配的演变使得这款僵尸网络将需要继续观看。“

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请