На этой неделе Microsoft объявила об успехе своих усилий, предпринятых совместно с партнерами из 35 стран, чтобы подорвать группу ботнетов Necurs, обвиненную в заражении более 9 миллионов компьютеров по всему миру.
По словам Вальтера Сантоса, исследователя безопасности в Bitsight, который работал с Microsoft над созданием зоны взлома, под зонтиком Necurs находятся 11 ботнетов, все из которых, очевидно, контролируются одной группой. На четыре из этих ботнетов приходится около 95 процентов всех инфекций.
«Necurs — это именованный эксплойт, который используется наиболее последовательно», — сказал Роб Эндерле, главный аналитик в Enderle Group.
Окружной суд США в восточном округе Нью-Йорка на прошлой неделе издал постановление, позволяющее Microsoft контролировать инфраструктуру на базе США, которую Necurs использует для распространения вредоносных программ и заражения компьютеров-жертв.
Microsoft выяснила, что новые домены Necurs будут генерировать алгоритмически, и сообщила о них соответствующим реестрам по всему миру, чтобы их можно было заблокировать.
Microsoft также сотрудничает с интернет-провайдерами, реестрами доменов, правительственными CERT и правоохранительными органами в различных странах, чтобы помочь избавиться от вредоносных программ, связанных с Necurs, с компьютеров пользователей.
В этом месяце активность бот-сетей остановилась, но около 2 миллионов зараженных систем остаются в состоянии покоя, чтобы Necurs возродился.
Эти системы «должны быть идентифицированы и перестроены», чтобы не оставлять их восприимчивыми к Necurs или другому ботнету, сообщил Эндерле TechNewsWorld.
«Они могут нанести большой ущерб, если их не найти вовремя», — сказал он.
«Microsoft — одна из немногих компаний, которая преследует плохих игроков, а не просто занимается проблемами безопасности», — отметил Эндерле. «Пока мир не станет агрессивным с привлечением плохих акторов к ответственности, мы будем продолжать подвергаться риску всемирного катастрофического компьютерного события. Эта проблема должна быть решена в источнике».
Содержание статьи
Длинная рука Necurs
Necurs — одна из крупнейших сетей в экосистеме угроз спама.
В течение одного 58-дневного периода расследования, проведенного под руководством Microsoft, один зараженный Necurs компьютер отправил в общей сложности 3,8 миллиона спам-сообщений более чем 40,6 миллионам потенциальных жертв, отметил корпоративный вице-президент Microsoft Том Берт.
Necurs впервые был обнаружен в 2012 году. Он известен в первую очередь как дроппер для других вредоносных программ, включая GameOver Zeus, Dridex, Locky и Trickbot, сказал Сантос из Bitsight.
Его основное использование — спамбот — механизм доставки мошеннических акций, фальсифицированного фармацевтического спама и российских мошеннических знакомств. Он также использовался для атаки на другие компьютеры в Интернете, кражи учетных данных для учетных записей в Интернете и кражи личной информации и конфиденциальных данных людей.
Ботнет известен тем, что распространял вредоносное и вымогательное ПО, предназначенное для финансовых целей, а также криптоминировал. Он имеет функцию DDoS (распределенный отказ в обслуживании), хотя она не была активирована.
С 2016 по 2019 гг. Necurs был ответственен за 90 процентов вредоносных программ, распространяемых по электронной почте по всему миру, согласно данным Santos BitSight.
«По сути, Necurs — это операционная система для доставки вредоносных программ на зараженные машины», — сказал Майк Джуд, директор по исследованиям IDC.
«Само по себе это не очень опасно», — сказал он TechNewsWorld. «Это больше похоже на раздражающий кусочек кода, который работает на корневом уровне. Но материал, который он может доставлять или активировать, может быть разрушительным».
Операторы Necurs также предлагают услугу «бот-сеть по найму», продавая или предоставление доступа к зараженным компьютерным устройствам другим злоумышленникам.
Считается, что Necurs — работа преступников, базирующихся в России.
Как работает Necurs
Разработчики Necurs реализовали многоуровневый подход к зараженным системам для связи со своими серверами управления и контроля через смесь централизованных и одноранговых каналов связи, BitSight найден.
Necurs связывается со своими операторами в основном через встроенный список IP-адресов, а иногда и через статические домены, встроенные в образец вредоносного ПО. Он также может использовать алгоритмы генерации домена.
Фиктивный DGA создает домены, которые используются для проверки работы вредоносного ПО в моделируемой среде. Второй DGA выбирает жестко закодированные домены .bit.
Домен верхнего уровня .bit — это альтернативная модель DNS, поддерживаемая Namecoin, которая использует инфраструктуру цепочки блоков и ее сложнее нарушить, чем TLD, регулируемые ICANN, сказал Сантос.
Если ни один из других методов не может получить активный сервер C & C, запускается основной DGA. Он генерирует 2048 возможных доменов C2 каждые четыре дня в 43 TLD, включая .bit, на основе текущей даты и начальное число, жестко закодированное в двоичный файл. Все домены проверяются до тех пор, пока один из них не разрешит и не ответит, используя правильный протокол.
Если все вышеперечисленные методы дают сбой, домен C & C извлекается из постоянно включенной сети P2P, которая выступает в качестве основного канала для обновления серверов C & C. Первоначальный список из примерно 2000 пиров жестко закодирован в двоичном файле, но при необходимости его можно обновить. Узлы в списке известны как «суперузлы» — системы-жертвы с повышенным статусом в инфраструктуре.
Кроме того, вредоносная программа использует алгоритм, который преобразует IP-адреса, полученные через DNS, в реальные IP-адреса своих серверов.
Инфраструктура C & C является многоуровневой, с несколькими уровнями прокси-серверов C & C, что делает обнаружение еще более трудным.
Первый уровень серверов C & C состоит из дешевых виртуальных частных серверов в таких странах, как Россия и Украина. Они осуществляют обратный прокси-обмен всеми коммуникациями с серверами второго уровня, которые обычно размещаются в Европе, а иногда и в России. Связь продолжается дальше вверх по цепочке, пока, наконец, не достигнет задней части.
В обычные дни работы Necurs BitSight ежедневно обнаруживал менее 50 000 зараженных систем, когда были активные C & C, и от 100 000 до 300 000, когда C & C были неактивны.
«Ежедневные уникальные наблюдения продолжают недооценивать истинный размер ботнета», — отметил Сантос.
Сбрасывание молотка на Necurs
Анализ DGA Necurs позволил Microsoft делать точные прогнозы для более чем 6 миллионов уникальных доменов, которые группа ботнетов создаст в течение следующих 25 месяцев. Судебный процесс и партнерские отношения с различными организациями не позволят Necurs регистрировать и использовать их.
Microsoft «проделала звездную работу по разбору этой версии — но эти вещи развиваются, и, вероятно, будет другая итерация, если эта станет более или менее нейтрализованной», — заметила Джуд из IDC.
«Код легко изменить, и он не разрабатывается в вакууме», — отметил он. «Люди, стоящие за этим, вероятно, уже изучают, как Microsoft реверсирует их подход, и встраивают его в следующую версию». 
