CenturyLink Anuncia Black Lotus Labs

O Black Lotus Labs revela a distribuição global e a técnica de ocultação da botnet multiferramentas Necurs

Por: Redação, ⌚ 14/03/2019 às 14h47 - Atualizado em 14/03/2019 às 14h47

A CenturyLink  está compartilhando inteligência sobre a botnet Necurs, descoberta por sua nova divisão de pesquisas e operações sobre ameaças, o Black Lotus Labs. A missão do Black Lotus Labs é a de aproveitar a visibilidade da rede da CenturyLink para ajudar a proteger clientes e manter a internet limpa.  Entre as formas através das quais o Black Lotus Labs faz isto está o rastreamento e a interrupção de botnets como Necurs, uma botnet prolífica e globalmente dispersa de distribuição de spam e malware que recentemente demonstrou uma técnica de ocultação para evitar detecção e acumular mais bots. Leia o relatório do Black Lotus Labs sobre Necurs aqui.

 

“Necurs é a multiferramentas das botnets, que evoluiu de uma operação como botnet de spam que fornecia trojans bancários e ransomware, para o desenvolvimento de um serviço proxy, com capacidades de cripto mineração e DDoS”, disse Mike Benjamin, líder do Black Lotus Labs. “O que é particularmente interessante é a cadência regular da Necurs em se tornar obscura para evitar a detecção, ressurgindo para enviar novos comandos para os hosts infectados e, em seguida tornando-se obscura novamente.  Esta técnica é uma das muitas razões pelas quais a Necurs foi capaz de se expandir para mais de meio milhão de bots ao redor do mundo”.

 

Principais Mensagens

 

Desde maio de 2018, o Black Lotus Labs vem observando um tempo de inatividade regular e contínuo de cerca de duas semanas em funcionamento, seguido por aproximadamente três semanas de atividade para os três dos grupos mais ativos de bots que formam a Necurs.

 

As cerca de 570.000 bots da Necurs estão distribuídas globalmente, com aproximadamente metade localizada nos seguintes países, em ordem de predomínio:  Índia, Indonésia, Vietnã, Turquia e Irã.

 

A Necurs utiliza um algoritmo de geração de domínio (DGA, na sigla em inglês) para ofuscar suas operações e evitar que sejam derrubadas.  No entanto, o DGA é uma faca de dois gumes: como os domínios de DGA que serão utilizados pela Necurs são conhecidos antecipadamente, os pesquisadores de segurança podem utilizar métodos como o “sinkholing” de domínios e analisar o tráfego de DNS e de rede para enumerar as infraestruturas de bots e comando e controle (C2).

 



Newsletter

/ VEJA TAMBÉM



/ COMENTÁRIOS