CenturyLinkが新しい脅威リサーチ・オペレーション部門のBlack Lotus Labsを発表

AsiaNet 77585 （0303）

【モンロー（米ルイジアナ州）2019年2月28日PR Newswire＝共同通信JBN】

＊Black Lotus Labsはマルチツール・ボットネットNecursの世界分散と隠れテクニック（遁術）を公開

犯罪者からインターネットを防衛する支援を一層強化するため、CenturyLink, Inc. （http://tinyurl.com/y3sgkczw ）（NYSE:CTL）は、新しい脅威リサーチ・オペレーション部門のBlack Lotus Labs（https://www.centurylink.com/business/security/black-lotus-labs.html?rid=blacklotuslabs ）が発見したNecursボットネットの情報を共有している。

以下のインタラクティブなマルチチャンネル・ニュースリリースを体験していただきたい。https://www.multivu.com/players/ja/8238355-centurylink-black-lotus-labs/

Black Lotus Labsのミッションは、CenturyLinkのネットワーク・ビジビリティ－を活用し、顧客を保護し、インターネットをクリーンに保つことである。Black Lotus Labsがこれを遂行する方法の1つは、Necursなどのボットネットを追跡し、壊滅させることである。Necursは大量かつ世界中にばらまかれたスパムおよびマルウエア分散ボットネットで、検知を回避するとともにボットを大量に蓄積する隠れテクニック（遁術）があることをこのほど実証した。

Necursに関するBlack Lotus Labsのリポートはウェブサイト: https://www.netformation.com/our-pov/casting-light-on-the-necurs-shadow/ （https://www.netformation.com/our-pov/casting-light-on-the-necurs-shadow/ ）を参照。

Black Lotus Labsのリーダーであるマイク・ベンジャミン氏は「Necursはボットネットのマルチツールであり、バンキング型トロイの木馬やランサムウエアを分散させるスパムボットとしても機能するほか、プロキシサービスをはじめ暗号化およびDDoS機能も備えている。特に興味深いのは、検知を回避するためにいったん姿を隠し、ホストを感染させる新しいコマンドを送るために再出現して、また消えるというNecursの定まったリズムである。このテクニックは、Necursが世界で50万以上のボットに拡大することができた多数の要因の1つである」と語った。

▽要点

＊Black Lotus Labsは2018年5月から、Necursから成る3つの最もアクティブなグループで、約3週間オン、2週間オフという定期的かつ持続的なダウンタイムを観測した。

＊Necursの約57万のボットは世界中にばらまかれ、その半数は感染順にインド、インドネシア、ベトナム、トルコ、イランに分散した。

＊Necursはドメイン・ジェネレーション・アルゴリズム（DGA）を使って、そのオペレーションを分かりにくくするとともにテイクダウンを回避する。しかし、DGAはもろ刃の剣でもある。なぜならば、Necursが使用するDGAドメインは事前に知られており、セキュリティー研究者はDGAドメインのシンクホール、DNSおよびネットワークトラフィックの分析などの方法を使って、ボットおよびコマンド・コントロール（C2）インフラストラクチャーを列挙することができる。

＊CenturyLinkは顧客に対するNecursのリスクを軽減する措置を講じるとともに、他のネットワーク所有者に潜在的に感染したデバイスを告知してインターネット保護を支援した。

追加資料

＊TheMoonがどのようにしてサービスのプロキシーに進化したかを理解する: http://news.centurylink.com/2019-01-31-TheMoon-Illustrates-Evolving-Threat-of-IoT-Botnets

＊Mylobotの第2段階攻撃に関する詳細: http://news.centurylink.com/2018-11-14-Mylobot-botnet-delivers-one-two-punch-with-Khalesi-malware

＊Satoriボットネットがどのようにして復活し、新しいターゲットを攻撃するかを理解する: http://news.centurylink.com/2018-10-29-Satori-botnet-resurfaces-with-new-targets

▽CenturyLinkについて

CenturyLink（https://c212.net/c/link/?t=0&l=en&o=2338945-2&h=4130852434&u=http%3A%2F%2Fwww.centurylink.com%2F&a=CenturyLink ）（NYSE: CTL）は、グローバルエンタープライズ顧客に対する米国第2位の通信プロバイダーである。CenturyLinkは60カ国以上に顧客を擁し、顧客体験に重点を置きながら、信頼性の高いセキュアな接続に対する顧客の増大する要求を解決することによって、世界最高のネットワーキング企業になることを目指している。同社はまた、顧客の信頼できるパートナーとして、ますます複雑化するネットワークおよびITの管理をサポートし、顧客のビジネスを守るマネジドネットワークおよびサイバーセキュリティー・ソリューションを提供している。

Logo - https://mma.prnewswire.com/media/134213/centurylink_logo.jpg

ソース：CenturyLink, Inc.

▽問い合わせ先: Stephanie Walkenshaw, +1 720-888-3084, stephanie.walkenshaw@centurylink.com

CenturyLink Announces New Threat Research and Operations Arm, Black Lotus Labs

PR77585

MONROE, Louisiana, Feb. 28, 2019 /PRNewswire=KYODO JBN/ --

- Black Lotus Labs reveals global distribution, hiding technique of multitool

botnet Necurs

Furthering its dedication to helping protect the internet from malicious actors,

CenturyLink, Inc. ( http://tinyurl.com/y3sgkczw ) (NYSE:CTL) is sharing

intelligence on the Necurs botnet uncovered by its new threat research and

operations division, Black Lotus Labs.

(https://www.centurylink.com/business/security/black-lotus-labs.html?rid=blacklotuslabs)

Experience the interactive Multichannel News Release here:

https://www.multivu.com/players/English/8238355-centurylink-black-lotus-labs/

The mission of Black Lotus Labs is to leverage CenturyLink's network visibility

to help protect customers and keep the internet clean. Among the ways Black

Lotus Labs does this is by tracking and disrupting botnets like Necurs, a prolific

and globally dispersed spam and malware distribution botnet which has recently

demonstrated a hiding technique to both avoid detection and quietly amass more bots.  

Read the Black Lotus Labs report on Necurs:

https://www.netformation.com/our-pov/casting-light-on-the-necurs-shadow/.

"Necurs is the multitool of botnets, evolving from operating as a spam botnet

delivering banking trojans and ransomware to developing a proxy service, as

well as cryptomining and DDoS capabilities," said Mike Benjamin, head of Black

Lotus Labs. "What's particularly interesting is Necurs' regular cadence of going

dark to avoid detection, reemerging to send new commands to infected hosts

and then going dark again. This technique is one of many the reasons Necurs

has been able to expand to more than half a million bots around the world."   

Key Takeaways

    -- Beginning in May of 2018, Black Lotus Labs observed regular, sustained

       downtime of roughly two weeks, followed by roughly three weeks of

       activity for the three most active groups of bots comprising Necurs.

    -- Necurs' roughly 570,000 bots are distributed globally, with about half

       located in the following countries, in order of prevalence: India,

       Indonesia, Vietnam, Turkey and Iran.  

    -- Necurs uses a domain generation algorithm (DGA) to obfuscate its

       operations and avoid takedown. However, DGA is a double-edged sword:

       because the DGA domains Necurs will use are known in advance, security

       researchers can use methods like sinkholing DGA domains and analyzing

       DNS and network traffic to enumerate bots and command and control (C2)

       infrastructure.

    -- CenturyLink took steps to mitigate the risk of Necurs to customers, in

       addition to notifying other network owners of potentially infected

       devices to help protect the internet.

Additional Resources

    -- Discover how TheMoon has evolved into a proxy as a service:

http://news.centurylink.com/2019-01-31-TheMoon-Illustrates-Evolving-Threat-of-IoT-Botnets.

    -- Learn more about Mylobot's second stage attack:

http://news.centurylink.com/2018-11-14-Mylobot-botnet-delivers-one-two-punch-with-Khalesi-malware.

    -- Find out how the Satori botnet is resurfacing with new targets:

http://news.centurylink.com/2018-10-29-Satori-botnet-resurfaces-with-new-targets.

About CenturyLink

CenturyLink (https://c212.net/c/link/?t=0&l=en&o=2385509-1&h=890385521&u=http%3A%2F%2Fwww.centurylink.com%2F&a=CenturyLink )

(NYSE: CTL) is the second largest U.S. communications provider to global

enterprise customers. With customers in more than 60 countries and an intense

focus on the customer experience, CenturyLink strives to be the world's best

networking company by solving customers' increased demand for reliable and

secure connections. The company also serves as its customers' trusted partner,

helping them manage increased network and IT complexity and providing managed

network and cyber security solutions that help protect their business.

Logo - https://mma.prnewswire.com/media/134213/centurylink_logo.jpg

SOURCE  CenturyLink, Inc.

CONTACT: Stephanie Walkenshaw, +1 720-888-3084,

stephanie.walkenshaw@centurylink.com