Black Lotus Labs revela la distribución global y la técnica de ocultamiento de la botnet multiherramientas Necurs
Más allá de su dedicación a ayudar a proteger la internet de los actores maliciosos, CenturyLink, Inc. está compartiendo inteligencia sobre la botnet Necurs, descubierta por su nueva división de investigaciones y operaciones sobre amenazas, Black Lotus Labs.
La misión de Black Lotus Labs consiste en aprovechar la visibilidad de la red de CenturyLink para ayudar a proteger a los clientes y mantener la internet limpia. Entre las formas utilizadas por Black Lotus Labs para llevarlo a cabo, se encuentra el rastreo y la disrupción de botnets tales como Necurs, una botnet prolífica y diseminada globalmente, de distribución de spam y malware, que recientemente demostró una técnica de ocultamiento tanto para evitar la detección como para generar más bots inadvertidamente.
Lea el informe de Black Lotus Labs sobre Necurs: https://www.netformation.com/our-pov/casting-light-on-the-necurs-shadow/
“Necurs es la multiherramienta de las botnets, que evolucionó de operar como una botnet de spams que enviaba troyanos y ransomware bancarios, a desarrollar un servicio proxy, como así también capacidades de criptominería y de DDoS,” comentó Mike Benjamin, líder de Black Lotus Labs. “Resulta particularmente interesante la cadencia regular de Necurs de tornarse oscura para evitar la detección, reemergiendo para enviar nuevos comandos a los hosts infectados y luego volverse oscura nuevamente. Esta técnica es una de las muchas razones por las cuales Necurs ha podido expandirse a más de medio millón de bots en todo el mundo.”
Aprendizajes clave
• Desde mayo de 2018, Black Lotus Labs observó un tiempo de inactividad regular y sostenido de aproximadamente dos semanas, seguido de aproximadamente tres semanas de actividad para los tres grupos más activos de bots -entre los que se encuentra Necurs.
• Las casi 570.000 bots de Necurs están distribuidas globalmente, y alrededor de la mitad de ellas está ubicada en los siguientes países, por orden de prevalencia: India, Indonesia, Vietnam, Turquía e Irán.
• Necurs utiliza un algoritmo de generación de dominio (DGA por su sigla en inglés) para ofuscar sus operaciones y evitar el derribamiento de las mismas. Sin embargo, el DGA es un arma de doble filo, porque los dominios de DGA que utilizará Necurs se conocen con antelación, los investigadores de seguridad pueden usar métodos tales como sumidero (sinkholing) de dominios DGA y analizar el tráfico de red y de DNS para enumerar las infraestructuras de bots y de comando y control (C2).
• CenturyLink tomó medidas para mitigar el riesgo de Necurs para los clientes, además de notificar a otros propietarios de redes sobre los dispositivos potencialmente infectados, para ayudar a proteger la internet.