CenturyLink beweist seinen starken Einsatz zum Schutz des Internets vor bösartigen Akteuren und veröffentlicht Informationen zum Botnetz Necurs. Diese wurden von der neuen Division der Threat Research and Operations, Black Lotus Labs, aufgedeckt.
Black Lotus Labs hat das Ziel, mit dem umfassenden Netzwerk-Überblick von CenturyLink-Kunden und das Internet vor bösartigen Angriffen zu schützen. Das geschieht unter anderem durch das Aufspüren und Aufbrechen von Botnetzen wie Necurs. Dieses Botnetz ist sehr produktiv und weltweit gestreut. Necurs verteilt Spam und Malware und hat kürzlich eine ausgefeilte Methode an den Tag gelegt, um unentdeckt weiter Bots zu sammeln.
„Necurs ist das Universalwerkzeug unter den Botnetzen. Es hat sich vom Spam-Botnetz zur Verteilung von Bank-Trojanern und Ransomware zu einem Proxy-Dienst mit Kryptomining und DDoS-Fähigkeiten weiterentwickelt“, erklärt Mike Benjamin, Leiter der Black Lotus Labs. „Besonders interessant ist die regelmäßige Frequenz, mit der Necurs sich quasi abschaltet und unsichtbar macht, um nicht entdeckt zu werden. Es taucht dann wieder auf und sendet neue Befehle an infizierte Hosts, nur um später erneut im Nichts zu verschwinden. Diese Methode ist einer der vielen Gründe, warum Necurs sich auf mehr als eine halbe Million Bots auf der ganzen Welt ausbreiten konnte.“
Wichtige Fakten
- Die Black Lotus Labs beobachtet seit Mai 2018 bei den drei aktivsten Bot-Gruppen von Necurs regelmäßig anhaltende Ausfallzeiten von etwa zwei Wochen, gefolgt von rund drei Wochen Aktivität.
- Die circa 570.000 Necurs-Bots sind weltweit verteilt. Rund die Hälfte befindet sich in den folgenden Ländern (Reihenfolge nach Häufigkeit): Indien, Indonesien, Vietnam, Türkei und Iran.
- Necurs nutzt einen Domain-Generation-Algorithm (DGA), um seine Aktivitäten zu verschleiern und einen Takedown zu vermeiden. DGA ist jedoch ein zweischneidiges Schwert, weil DGA-generierte Domains im Voraus bekannt sind. Sicherheitsforscher können so Verfahren zur Auszählung von Bots und Command-and-Control (C2)-Infrastrukturen anwenden wie das Sinkholing von DGA-Domains oder die Analyse von Domain-Name-System (DNS) und Netzwerk-Traffic.
- CenturyLink hat sowohl Maßnahmen ergriffen, um das Necurs-Risiko für seine Kunden zu minimieren, als auch andere Netzwerkbetreiber zum Schutz des Internets über potenziell infizierte Geräte informiert.
Zusätzliche Ressourcen
- Der Black-Lotus-Labs-Report zu Necurs finden sich hier: https://www.netformation.com/our-pov/casting-light-on-the-necurs-shadow/
- Die Weiterentwicklung von TheMoon zu Proxy-as-a-Service: http://news.centurylink.com/2019-01-31-TheMoon-Illustrates-Evolving-Threat-of-IoT-Botnets.
- Mylobots zweite Angriffsphase: http://news.centurylink.com/2018-11-14-Mylobot-botnet-delivers-one-two-punch-with-Khalesi-malware.
- Satori-Botnet meldet sich mit neuen Zielen zurück: http://news.centurylink.com/2018-10-29-Satori-botnet-resurfaces-with-new-targets.
#Netzpalaver #CenturyLink