بدأت شبكات أنوبيس مراقبة Necurs في أغسطس عام 2015، ومنذ ذلك الحين ونحن قادرون على مراقبة حوالي 50،000 عنوان IP فريدة يتصل ب Sinkholالخاص بنا في مد زمنيه تعادل 24 ساعة. ومع ذلك، فقد تركة الأحداث الأخيرة لنا لاكتشاف, أننا كنا في الواقع نرى سوى جزء صغير من الروبوتات .
Necurs هو من عائلة البرمجيات الخبيثة, المعروف في الغالب لستخدامها تقنيت Rootkit، والتي تشمل كل من وضع المستخدم "Ring3"ومكون وضع النواة "Ring0"، مما يجعلها قادرة على العبث بالنظام في أدنى مستوى.
Necurs يتم تثبيته عادة من قبل أسر أخرى من البرامج الضارة (مثل زيوس، Dorkbot)، ولكن هناك تقارير عن أنه يجري توزيعه من تلقاء نفسه باستخدام مجموعت تغرات.
بعد تلويت النظام يقوم بسرقة معلومات المستخدم، تثبيت برامج ضارة إضافية و إرسال البريد المزعج Spam.
ميزة واحدة مثيرة للاهتمام بشكل خاص في هذا البوت الخبيث وهي في C&C (القيادة والسيطرة) . لضمان مرونتها واحباط اي
محاوله ايقاف شبكت البوت نت هده:takedown، يستخدم Necurs العديد من التقنيات في وقت واحد :
● HTTP using a list of hardcoded servers;
● HTTP using a server obtained through a DGA;
● A custom P2P network that is used mainly to deliver lists of HTTP C2 servers.
و لجعل مراقبه أصعب قليلا، يستخدم Necurs خوارزمية لتحويل عناوين IP الوارده عن طريق خدمة DNS إلى عناوين IP الحقيقيه لخوادمه. وهو ما يعني أنه من أجل sinkhole كامل لهدا البوت ، تحتاج عكسه هذه الخوارزمية .
الانظمة المصابة ب Necurs موجودة في معظم بلدان العالم، على الرغم من أن معظم حالات العدوى موجودة في آسيا، مع وجود قوي خاصة في الهند. وتبين الخريطة التالية توزيعه في جميع أنحاء العالم.
كان عدد الحالات المصابة بمعدل 50،000 عنوان IP في 24 ساعة لعدة أشهر، وهذا العدد كان في تباطؤ وانخفاض على مر الزمن. ومع ذلك، في 28 مارس 2016، رأينا فجأة زيادة كبيرة في أعداد الإصابة. بلغت عددها على مدى 24 ساعة 650.000. ثم انخفض هذا الرقم ببطء خلال الأيام التاليه حتى وصل عدد العدوى المعتاد.
عندها بدأنا في البحث عن سبب ممكن لجميع هذه الاتصالات الجديدة،في الخدمات المفتوحت المصدر ووسائل الإعلام. ومع ذلك، لم نتكن من ايجاد أية أدلة ، او حتى من خلال OSINT. ثم قررنا أن ننظر إلى البرمجيات الخبيثة مرة أخرى لفترة وجيزة و مراجعة طريقة عمل قنوات اتصال شبكتها عند تنفيذ البرامج الضارة، ويبدأ اتصال روتين P2P (وتسمى p2pmain في الصورة أدناه)، وبعد ذلك يدعو مباشرة الأمر HTTP وروتين السيطرة (وتسمى httpc2main أدناه) مباشرة أو في تريد "thread"جديد (في هده الحاله يعمل البرنامج الخبيت كسيرفس).
بمجرد أن يتم تنفيذ أسلوب الاتصال HTTP C2، و تحصل البرمجيات الخبيثة على عنوان IP من C2 (باستخدام وظيفة تسمى getc2addr أدناه)، يحاول الاتصال به. إذا كان الاتصال ناجحا يخزن هذا العنوان في متغير عمومي (باستخدام وظيفة تسمى storeasactivec2 أدناه) التي سيتم إرجاعها بواسطة الأسلوب getc2addr في محاولات الاتصال التالية.
توضح الصورة التالية وظيفة getc2addr. في حالة وجود C2 إرجاع عنوان C2 النشط (arg0 دائما 0 في محاولة الاتصال الأولى). إذا لم يحدث ذلك فإن الدالة تقوم بإرجاع أحد العناوين ضمنية، أو واحد من العناوين الواردة من خلال شبكة P2P.
إذا فشلت محاولات الاتصال 16 مرة، تقوم البرمجيات الخبيثة بالاتصال (بمايكروسوفت أو الفيسبوك وأربعة مجالات بشكل عشوائي)، وتعيين P2P network beacon مرتفع التيرة high frequency P2P network beacon ، ويبدأ DGA الحقيقي Domain Generator algorithm .
إذا وجدت البرمجيات الخبيثة C2 نشط حقيقي من خلال DGA، فإنه سيتم إضافته إلى المتغير العالمي C2 النشط والحفاظ على الاتصال به في المستقبل.
بعد تحليل قصيرة، لاحظنا أن نظام مصاب سوف يربط الاتصال إلى sinkhole لدينا فقط أن وجدته في قائمه الضمنية ، وDGA أو المكون P2P، بعد دالك سوف يقوم بالتواصل فقط مع نفس الخادم النشط ولن يربط الاتصال بsinkhole. الا في احد الإجراءات التالية ظهرت:
● إن C2 الحقيقي توقف عن الاستجابة.
● هذا النظام هو في حالة shutdown/reboots/sleeps/hibernates.
● الشبكة المحلية غير متصله.
عند هذه النقطة أدركنا أن التفسير الأكثر ترجيحا هو أن IPs 50.000 التي كنا نرى يوميا، لم تكن سوى قمت الجبل الجليدي the tip of the Iceberg ، وأن روبوتات Necurs في الواقع أكبر بكثير.
في نضره اقرب ، يوضح الرسم البياني التالي كيف وصلت العديد من الاتصلات المختلفة لsinkhole لدينا في مده زمنيه فاصل 1 ساعة واحده .
يظهر على الرسم البياني أن الاتصالات وصلت اقصاها ، ويرجه حدوت دالك الى ان الحقيقي كان خارج الخدمه
لمده قصيره مما جعل البوتات تبحت عن خادم C2 جديد ، مما ادى الى اتصالها بsinkhole.
لتأكيد هذه النظرية، تركنا نظام مصاب يعمل على بيئة نسيطر عليها لبضعة أيام وتمكنا من مراقبة أنها فقدت الاتصال ب C2 نشط وبدالكبدات تبحت عن C2 الجديد, في نفس الوقت لاحظنا تصاعدا جديدا من مئات الآلاف لاتصالات إلى sinkhole لدينا.
ادا ماهو حجم شبكت البوتاوت الخاصه ب Necurs؟ ونحن نعرف أن لديها أكثر من 650،000 عدوى (بناء على عناوين IP المصابة يوميا)، وبعد النظر في الرسم البياني لارتفاع الأول، ونحن نعتقد أنه إذا لم يعد الخادم C2الحقيقي في دالك الوقت للعمل لكان هذا الرقم أعلى بكثير مما جعل Necurs واحدة من أكبر شبكات البوت نت النشطه حاليا.
تحديث 2016/06/01:
توقفت خوادم Necurs عن العمل لمدت 24 ساعه ، وبدالك تمكنا من رايت الحجم الحقيقي
لهدا البوت نت .
حيت انه في 24 ساعه الاخيره قام اكتر من مليون جهاز مصاب (1.091,024 unique IP addresses) بالاتصال ب sinkhole الخاص بنا كما يبين الرسم البياني التالي :
ويوضح الرسم البياني التالي عددIP فريدة للاتصالات الوارده ل في فاصل زمني يتراوح بين ساعه واحده:
شكلت هده 24 ساعه فرصه رائعه لمشاهدت الحجم الحقيقي لهدا البوت نت،
باكتر من مليون بوت فان يصنف في خانت اكبر شبكات البوتنت الموجوده في يومنا هدا.
اتمني ان ينال المقال اعجابكم ،الى اللقاء.
كان عدد الحالات المصابة بمعدل 50،000 عنوان IP في 24 ساعة لعدة أشهر، وهذا العدد كان في تباطؤ وانخفاض على مر الزمن. ومع ذلك، في 28 مارس 2016، رأينا فجأة زيادة كبيرة في أعداد الإصابة. بلغت عددها على مدى 24 ساعة 650.000. ثم انخفض هذا الرقم ببطء خلال الأيام التاليه حتى وصل عدد العدوى المعتاد.
عندها بدأنا في البحث عن سبب ممكن لجميع هذه الاتصالات الجديدة،في الخدمات المفتوحت المصدر ووسائل الإعلام. ومع ذلك، لم نتكن من ايجاد أية أدلة ، او حتى من خلال OSINT. ثم قررنا أن ننظر إلى البرمجيات الخبيثة مرة أخرى لفترة وجيزة و مراجعة طريقة عمل قنوات اتصال شبكتها عند تنفيذ البرامج الضارة، ويبدأ اتصال روتين P2P (وتسمى p2pmain في الصورة أدناه)، وبعد ذلك يدعو مباشرة الأمر HTTP وروتين السيطرة (وتسمى httpc2main أدناه) مباشرة أو في تريد "thread"جديد (في هده الحاله يعمل البرنامج الخبيت كسيرفس).
بمجرد أن يتم تنفيذ أسلوب الاتصال HTTP C2، و تحصل البرمجيات الخبيثة على عنوان IP من C2 (باستخدام وظيفة تسمى getc2addr أدناه)، يحاول الاتصال به. إذا كان الاتصال ناجحا يخزن هذا العنوان في متغير عمومي (باستخدام وظيفة تسمى storeasactivec2 أدناه) التي سيتم إرجاعها بواسطة الأسلوب getc2addr في محاولات الاتصال التالية.
توضح الصورة التالية وظيفة getc2addr. في حالة وجود C2 إرجاع عنوان C2 النشط (arg0 دائما 0 في محاولة الاتصال الأولى). إذا لم يحدث ذلك فإن الدالة تقوم بإرجاع أحد العناوين ضمنية، أو واحد من العناوين الواردة من خلال شبكة P2P.
إذا فشلت محاولات الاتصال 16 مرة، تقوم البرمجيات الخبيثة بالاتصال (بمايكروسوفت أو الفيسبوك وأربعة مجالات بشكل عشوائي)، وتعيين P2P network beacon مرتفع التيرة high frequency P2P network beacon ، ويبدأ DGA الحقيقي Domain Generator algorithm .
إذا وجدت البرمجيات الخبيثة C2 نشط حقيقي من خلال DGA، فإنه سيتم إضافته إلى المتغير العالمي C2 النشط والحفاظ على الاتصال به في المستقبل.
بعد تحليل قصيرة، لاحظنا أن نظام مصاب سوف يربط الاتصال إلى sinkhole لدينا فقط أن وجدته في قائمه الضمنية ، وDGA أو المكون P2P، بعد دالك سوف يقوم بالتواصل فقط مع نفس الخادم النشط ولن يربط الاتصال بsinkhole. الا في احد الإجراءات التالية ظهرت:
● إن C2 الحقيقي توقف عن الاستجابة.
● هذا النظام هو في حالة shutdown/reboots/sleeps/hibernates.
● الشبكة المحلية غير متصله.
عند هذه النقطة أدركنا أن التفسير الأكثر ترجيحا هو أن IPs 50.000 التي كنا نرى يوميا، لم تكن سوى قمت الجبل الجليدي the tip of the Iceberg ، وأن روبوتات Necurs في الواقع أكبر بكثير.
في نضره اقرب ، يوضح الرسم البياني التالي كيف وصلت العديد من الاتصلات المختلفة لsinkhole لدينا في مده زمنيه فاصل 1 ساعة واحده .
يظهر على الرسم البياني أن الاتصالات وصلت اقصاها ، ويرجه حدوت دالك الى ان الحقيقي كان خارج الخدمه
لمده قصيره مما جعل البوتات تبحت عن خادم C2 جديد ، مما ادى الى اتصالها بsinkhole.
لتأكيد هذه النظرية، تركنا نظام مصاب يعمل على بيئة نسيطر عليها لبضعة أيام وتمكنا من مراقبة أنها فقدت الاتصال ب C2 نشط وبدالكبدات تبحت عن C2 الجديد, في نفس الوقت لاحظنا تصاعدا جديدا من مئات الآلاف لاتصالات إلى sinkhole لدينا.
ادا ماهو حجم شبكت البوتاوت الخاصه ب Necurs؟ ونحن نعرف أن لديها أكثر من 650،000 عدوى (بناء على عناوين IP المصابة يوميا)، وبعد النظر في الرسم البياني لارتفاع الأول، ونحن نعتقد أنه إذا لم يعد الخادم C2الحقيقي في دالك الوقت للعمل لكان هذا الرقم أعلى بكثير مما جعل Necurs واحدة من أكبر شبكات البوت نت النشطه حاليا.
تحديث 2016/06/01:
توقفت خوادم Necurs عن العمل لمدت 24 ساعه ، وبدالك تمكنا من رايت الحجم الحقيقي
لهدا البوت نت .
حيت انه في 24 ساعه الاخيره قام اكتر من مليون جهاز مصاب (1.091,024 unique IP addresses) بالاتصال ب sinkhole الخاص بنا كما يبين الرسم البياني التالي :
ويوضح الرسم البياني التالي عددIP فريدة للاتصالات الوارده ل في فاصل زمني يتراوح بين ساعه واحده:
شكلت هده 24 ساعه فرصه رائعه لمشاهدت الحجم الحقيقي لهدا البوت نت،
باكتر من مليون بوت فان يصنف في خانت اكبر شبكات البوتنت الموجوده في يومنا هدا.
اتمني ان ينال المقال اعجابكم ،الى اللقاء.
