در بعضی مواقع، این زیرساختها تا هفتهها غیرفعال هستند.سرورهای C۲ تا چهار ماه گذشته، آفلاین بودهاند و فقط برای مدت زمان کوتاهی مثلا یک بار در هفته آنلاین میشوند.
Necurs ابزار چندمنظوره باتنتها است، که با شروع از فعالیت به عنوان یک بات اسپم منتقلکننده تروجانها و باجافزارهای بانکی، اکنون قابلیت توسعه یک سرویس پروکسی، کاوش رمزارز و انجام حملاتDDoS را نیز دارد. نکته جالب توجه در مورد Necurs این است که بهطورمنظم برای جلوگیری از شناسایی، مخفی شده و سپس برای ارسال دستورات جدید به میزبانهای آلوده دوباره ظاهر میشود و سپس دوباره پنهان میشود. این روش یکی از دلایلی است که Necurs قادر به گسترش و توسعه به بیش از نیم میلیون بات در سراسر جهان شدهاست.
بر اساس گزارش ماه دسامبر، Necurs دومین باتنت اسپم شایع بعد از Gamut است. حدود ۵۷۰ هزار بات آن در سراسر جهان توزیع شدهاست که تقریبا نیمی از آنها به ترتیب تعداد در کشورهای زیر قرار دارند: هند، اندونزی، ویتنام، ترکیه و ایران. برآورد میشود که از میان آنها، حدود ۹۰ هزار مورد از باتهای Necurs یتیم (Orphaned) هستند، به این معنی که ارتباطی با سرور C۲ ندارند. با این وجود، باتهای یتیم لزوما به طور دائم از باتنت حذف نمیشوند. اخيرا باتهاي DGA۱۳ مشاهده شدهاند که بعد از مدتها عدم فعالیت، ارتباط خود با سرورهای C۲ از سر گرفتهاند.
علاوه بر رویکرد فعالیت مقطعی C۲، بدنه و payloadهای باتنت نیز پیشرفت کردهاند. به تازگی، Necurs در حال ارسال ابزارهای سرقت اطلاعات وRAT ها، مانند AZOrult و FlawedAmmyy به میزبانهای هدفمند است و بر اساس اطلاعات موجود در میزبانهای آلوده و راهاندازی یک ماژول هرزنامه NET. جدید و پیچیده نیز مشاهده شده است.
این ماژول قادر به ارسال هرزنامه با استفاده از حسابهای ایمیل قربانی است. این قابلیتهای جدید نشاندهنده افزایش قابل توجه توان Necurs در انجام فیشینگ، جرایم مالی و جاسوسی است.
Necur از یک الگوریتم تولید دامنه (DGA) برای مبهمسازی عملیات خود و جلوگیری از حذف توسط ضدویروسها استفاده میکند. هنگامی که اپراتورهای Necurs دامنهی DGA را برای اطلاع باتها از C۲جدید ثبت میکنند، دامنه به آدرس IP واقعی میزبان C۲ جدید اشاره نمیکند. در عوض، آدرس IP واقعی C۲ با یک الگوریتم رمزنگاری، مبهمسازی میشود. سپس بات آدرس رمزگذاری شده را رمزگشایی کرده و با C۲ جدید تماس میگیرد. این موضوع مانع از این میشود که پژوهشگران قادر به شناسایی C۲ جدید با دراختیار داشتن دامنه DGA باشند، اما مهمتر از آن، حذف این دامنهها را بسیار مشکل خواهد کرد.
با این حال، DGA یک شمشیر دو لبه است. از آنجا که دامنههای DGA مورداستفاده Necurs از قبل شناخته شدهاند، پژوهشگران امنیتی میتوانند از روشهایی مانند آنالیز DNS و ترافیک شبکه برای شمارش باتها و زیرساخت C۲ استفاده کنند. برای صحبتکردن بات با یک سرور فرمان، تابع مبهمسازی باید رویIP واقعی اجراشود و دامنه DGA باید رکورد A خود را به مقدار حاصل تنظیمکند. این کار را میتوان با عکسکردن الگوریتم مبهمسازی و اجرای آن به همان شیوهی اپراتورهایNecurs، انجام داد.
انتهای پیام/