تکامل بات‌نت  Necurs

به گزارش کارگروه امنیت سایبربان، به نقل از معاونت بررسی مرکز افتا؛ Necurs ، بات‌نت فراگیر و گسترده توزیع‌کننده اسپم و بدافزار در سراسر جهان، در حال استفاده از تکنیک پنهان‌سازی تازه‌ای، به منظور جلوگیری از شناسایی‌شدن و اضافه‌کردن بات‌های بیشتر به شبکه خود است.

سال گذشته Necurs به طور منظم و مستمر، شروع به پیاده‌سازی امکاناتی در زمینه پنهان‌سازی برای زیرساخت‌های فرمان و کنترل (C2) خود کرد، به طوری که از حدود ماه می سال گذشته، تقریبا به مدت سه هفته کامل فعال بود و سپس دو هفته غیرفعال و دوباره نمایان شد که به تازگی بازه‌های زمانی عدم‌فعالیت طولانی‌تر شده‌اند.

در بعضی مواقع، این زیرساخت‌ها تا هفته‌ها غیرفعال هستند.سرورهای C2 تا چهار ماه گذشته، آفلاین بوده‌اند و فقط برای مدت زمان کوتاهی مثلا یک بار در هفته آنلاین می‌شوند.

 Necurs ابزار چندمنظوره بات‌نت‌ها است، که با شروع از فعالیت به عنوان یک بات اسپم منتقل‌کننده تروجان‌ها و باج‌افزارهای بانکی، اکنون قابلیت توسعه یک سرویس پروکسی، کاوش رمزارز و انجام حملات DDoS را نیز دارد. نکته جالب توجه در مورد    Necurs  این است که به‌طورمنظم برای جلوگیری از شناسایی، مخفی شده و سپس برای ارسال دستورات جدید به میزبان‌های آلوده دوباره ظاهر می‌شود و سپس دوباره پنهان می‌شود. این روش یکی از دلایلی است که Necurs قادر به گسترش و توسعه به بیش از نیم میلیون بات در سراسر جهان شده‌است.

بر اساس گزارش ماه دسامبر، Necurs  دومین بات‌نت‌ اسپم شایع بعد از Gamut است. حدود ۵۷۰ هزار بات آن در سراسر جهان توزیع شده‌است که تقریبا نیمی از آن‌ها به ترتیب تعداد در کشورهای زیر قرار دارند: هند، اندونزی، ویتنام، ترکیه و ایران. برآورد می‌شود که از میان آن‌ها، حدود ۹۰ هزار مورد از بات‌های Necurs  یتیم (Orphaned) هستند، به این معنی که ارتباطی با سرور C۲ ندارند. با این وجود، بات‌های یتیم لزوما به طور دائم از بات‌نت حذف نمی‌شوند. اخيرا بات‌هاي DGA13 مشاهده شده‌اند که بعد از مدت‌ها عدم فعالیت، ارتباط خود با سرورهای C2 از سر گرفته‌اند.

علاوه بر رویکرد فعالیت مقطعی C۲، بدنه و payloadهای بات‌نت نیز پیشرفت کرده‌اند. به تازگی، Necurs در حال ارسال ابزارهای سرقت اطلاعات وRAT ها، مانند AZOrult و FlawedAmmyy به میزبان‌های هدفمند است و بر اساس اطلاعات موجود در میزبان‌های آلوده و راه‌اندازی یک ماژول هرزنامه NET. جدید و پیچیده نیز مشاهده شده‌ است.

این ماژول قادر به ارسال هرزنامه‌ با استفاده از حساب‌های ایمیل قربانی است. این قابلیت‌های جدید نشان‌دهنده افزایش قابل توجه توان Necurs در انجام فیشینگ، جرایم مالی و جاسوسی است.

Necurs از یک الگوریتم تولید دامنه (DGA) برای مبهم‌سازی عملیات خود و جلوگیری از حذف توسط ضدویروس‌ها استفاده می‌کند. هنگامی که اپراتورهای Necurs  دامنه‌ی  DGA را برای اطلاع بات‌ها از  C2جدید ثبت می‌کنند، دامنه به آدرس IP واقعی میزبان C۲ جدید اشاره نمی‌کند. در عوض، آدرس IP واقعی C2 با یک الگوریتم رمزنگاری، مبهم‌سازی می‌شود. سپس بات آدرس رمزگذاری شده را رمزگشایی کرده و با C2 جدید تماس می‌گیرد. این موضوع مانع از این می‌شود که پژوهشگران قادر به شناسایی C2  جدید با دراختیار داشتن دامنه DGA باشند، اما مهم‌تر از آن، حذف این دامنه‌ها را بسیار مشکل خواهد کرد.

با این حال،DGA یک شمشیر دو لبه است. از آن‌جا که دامنه‌های DGA مورداستفاده Necurs از قبل شناخته شده‌اند، پژوهشگران امنیتی می‌توانند از روش‌هایی مانند آنالیز DNS و ترافیک شبکه برای شمارش بات‌ها و زیرساخت C2 استفاده کنند. برای صحبت‌کردن بات با یک سرور فرمان، تابع مبهم‌سازی باید رویIP  واقعی اجراشود و دامنه DGA باید رکورد A خود را به مقدار حاصل تنظیم‌کند. این کار را می‌توان با عکس‌کردن الگوریتم مبهم‌سازی و اجرای آن به همان شیوه‌ی اپراتورهایNecurs، انجام‌ داد.