威脅情報業者Anubis Networks於近日指出,全球最大殭屍網路Necurs在最近新增了分散式阻斷服務(Distributed Denial of Service,DDoS)模組,意謂著它除了用來傳送大量的垃圾郵件,並且夾帶惡意軟體之外,還具備了發動DDoS攻擊的能力。
Necurs掌控了全球將近500萬台的殭屍電腦,雖然它被用來遞送許多惡意程式,最知名的是勒索軟體Locky,然而,它不僅僅是個垃圾郵件機器人,還是個惡意程式模組,其主要模組為可動態載入其他模組的rootkit程式。
Anubis指出,迄今雖然有許多有關Necurs的研究,但範圍不脫rootkit、網域產生演算法(Domain Generation Algorithm,DGA)或垃圾郵件模組,但對於Necurs在垃圾郵件模組之外的是否載入其他模組一直沒有太多公開資訊。
但約莫在半年前,Anubis發現Necurs使用了不同的通訊埠,並載入了兩個不同的模組,其中一個為外界所熟知的垃圾郵件模組,另一個在以反向工程分析後,顯示它是一個可接受遠端命令的SOCKS/HTTP代理模組,代表駭客將能操縱Necurs殭屍網路以針對任何目標提出HTTP或UDP的無限請求,造成DDoS攻擊。
Anubis指出,該DDoS模組的時間戳為2016年8月23日,而且每天以下載至100萬台電腦的速度在擴散,讓Necurs成為擁有可造成強大DDoS攻擊的能耐。
在Necurs具備DDoS功能之後,其所能造成的損害將難以估計,現階段最大的物聯網(IoT)殭屍網路Mirai Botnet約掌控40萬個IoT裝置,在規模還只有十幾萬的時候,就能帶來接近1Tbps的攻擊流量,摧毀了資安部落格KrebsOnSecurity、拖慢了法國網站代管服務供應商OVH的效能,還參與了鎖定DNS服務供應商Dyn的DDoS攻擊。
不過,Anubis迄今尚未發現Necurs發動或參與任何的DDoS攻擊行動。