Análisis de malware

Necurs: la botnet más grande del mundo

enero 27, por Ninja de seguridad

Este artículo examina lo que se promociona como el botnet más grande del mundo conocido como “Necurs”, centrándose en lo siguiente:

1. Cómo se destaca Necurs de otras botnets;
2. Las famosas infecciones/malware que ha utilizado Necurs;
3. Cómo esta botnet se ha convertido en la primera opción para el ciberatacante.

La primera aparición de Necurs se observó en. En ese momento, era esencialmente una red de sistemas comprometidos que enviaban correos electrónicos no deseados con archivos adjuntos maliciosos a una gran cantidad de destinatarios.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Los archivos adjuntos maliciosos incluían varias formas de caballos de Troya para ransomware. Hoy, Necurs se está reinventando al admitir otras variantes de malware.

Para apuntar a una computadora víctima a la botnet Necurs, primero se infecta con un rootkit. Tan pronto como pasa a formar parte de Necurs, el ordenador víctima se utiliza para infectar otros dispositivos con formas de malware más nuevas y potentes mediante el uso de varios comandos.

Es importante tener en cuenta que Necurs también es una botnet P2P, lo que significa que también puede comunicarse con otros bots infectados y compartir una lista de direcciones IP basadas en servidores. Necurs también hace uso de algoritmos de generación de dominios (DGA) para llevar a cabo sus ataques.

Necurs tiene un enfoque modular, lo que significa que puede realizar la infección inicial y, a partir de ahí, agregar malware adicional. Esto es lo que ha hecho que Necurs sea sigiloso y encubierto.

A continuación se detallan los principales módulos de Necurs:

• El módulo de spam:

  Este es el módulo principal de Necurs. Se utiliza para realizar ataques maliciosos contra computadoras objetivo. A partir de este módulo, hay varias formas en las que se ha implementado Necurs, uno de los mecanismos de entrega más famosos es el del ransomware Locky.

• Módulo de proxy:

  Este módulo agrega redirección de tráfico a través de los protocolos de red HTTPS y SOCKS.

• Módulo DDoS:

  Este módulo se agregó en febrero de. Permite que cada bot realice un ataque DDoS contra cualquier objetivo seleccionado. Hasta el momento, Necurs no ha realizado ningún ataque DDoS; pero si ocurriera, tendría un impacto significativo a nivel mundial.

A continuación se muestra un resumen de las funciones que ha desempeñado Necurs desde sus inicios:

Necurs se inició mediante la creación de una red peer to peer con una extensión de dominio .bit. Esto le dio a la botnet en evolución la ventaja de evadir la detección y ser parte de un sistema DNS descentralizado. En, Necurs aprovechó el cargador Upatre para crear la infección inicial. Luego, utilizó el cargador Gameover Zeus para ataques posteriores. Finalmente, fueron neutralizados por la comunidad de seguridad. Sin embargo, antes de que esto sucediera, Necurs también se asoció con ransomware, como CryptoLocker. En, Necurs continuó entregando sus diversas formas de ransomware, siendo uno de los principales ejemplos el de Cryptowall. En, Necurs inició varias campañas de spam lanzadas por algunos de los grupos de ciberatacantes más importantes, como TeslaCrypt, NeverQuest y Dridex. Durante este período, Necurs también comenzó a distribuir Locky Ransomware. Se cree que todavía está presente en más de 50.000 máquinas. En marzo de, Necurs lanzó una estafa financiera de tipo “pump and dump” para acciones de muy bajo valor. El resultado fue que el volumen de negociación de estas acciones fue mucho mayor de lo normal. La última infección de Necurs es la explotación de la vulnerabilidad DDE y su entrega a través de Locky Ransomware. Al infectar, inicialmente, el ordenador víctima recibirá un “malspam” de la botnet Necurs. Contiene un archivo adjunto.DOC infectado que explota aún más el DDE. En segundo lugar, una vez realizada la ejecución, se descarga el malware de primera etapa. Esta etapa consta de solicitudes HTTP con la URL de retorno del malware. En tercer lugar, el malware de la primera etapa envía más de 2 solicitudes de publicaciones HTTP para descargar el binario Locky que conforma el ransomware.

Necurs tiene resiliencia incorporada y las siguientes son sus características:

• Necurs posee una arquitectura modular y consta de un rootkit en modo kernel. Como resultado, es difícil de eliminar. Esto permite a Necurs desactivar cualquier función de solución de seguridad en el host final.
• Necurs utiliza actualmente 2 juegos de DGA. Estos se utilizan para generar dominios que cubren 48 TLD diferentes.
• Necurs también dispone de algunas Técnicas Antianálisis. Por ejemplo, puede detectar si se está ejecutando dentro de un entorno virtual. Una vez que se haya establecido el binario, utilizará el DGA para generar 4 dominios aleatorios en un intento de resolverlos. Si puede hacer esto, se asegurará de que efectivamente se encuentra dentro de un entorno virtual.
• Todas las cargas maliciosas que transfiere Necurs están cifradas y en formato binario, lo que las hace difíciles de detectar.

Finalmente, Necurs es el catalizador detrás de muchos de los ciberataques que se producen. El resultado es una catástrofe para las empresas y corporaciones en cuanto a pérdida de ingresos y clientes. Además, se espera que Necurs se vuelva mucho más sofisticado y, por lo tanto, sea la herramienta elegida para futuros delitos cibernéticos, especialmente cuando esté involucrado Ransomware.

Fuentes:

https://securityintelligence.com/news/fraudsters-use-necurs-botnet-to-spread-scarab-ransomware/

https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam/

https://www.bankinfosecurity.com/necurs-botnet-shifts-from-ransomware-to-pump-and-dump-scam-a-9781