GETOVERX FORUM Community Support   ›   Malware Docs   ›   Rootkits   ›   ROOTKIT – Necurs Rootkit

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
ROOTKIT – Necurs Rootkit
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:53 PM (This post was last modified: 12-07-2025, 04:22 PM by mrwebfeeder.)
Nombre: Necurs

Categoría: Rootkit kernel-mode

Descripción general:
Necurs es un rootkit en modo kernel utilizado para ocultar bots y otras piezas de malware en sistemas Windows. Ha sido empleado como plataforma para campañas masivas de spam, distribución de ransomware y otras amenazas, proporcionando a los atacantes un entorno persistente y difícil de detectar.

Comportamiento (lo que hace y qué oculta):
  • Oculta bots y procesos maliciosos:
    - Manipula estructuras internas del kernel para que:
    - Procesos maliciosos no aparezcan en el Administrador de tareas.
    - Entradas de servicios y drivers no sean visibles en herramientas estándar.
    - Ficheros y directorios asociados al botnet queden ocultos al usuario y al sistema.
  • Carga spam y ransomware:
    - Actúa como plataforma de soporte para otros componentes:
    - Bots de envío de spam masivo.
    - Downloaders que traen ransomware, troyanos bancarios u otro malware.
    - Facilita que estos componentes se ejecuten de forma silenciosa y persistente.
  • Protege procesos maliciosos:
    - Intercepta y modifica llamadas de sistema para:
    - Impedir que herramientas de seguridad terminen procesos del bot.
    - Bloquear acceso a ficheros y claves de Registro relacionados con el malware.
    - Puede desviar o manipular las operaciones de lectura de listas de procesos, módulos y conexiones de red.

Persistencia:
  • Instala drivers en modo kernel (rootkit de kernel) que se cargan durante el arranque del sistema.
  • Registra servicios y claves de arranque en el Registro para que:
    - El driver rootkit y los componentes del botnet se inicien antes de muchas soluciones de seguridad.
  • Puede modificar estructuras internas del kernel para:
    - Ocultar sus propios módulos.
    - Mantenerse activo incluso cuando herramientas de usuario creen haberlo eliminado.

Hash real de referencia (SHA-256):
Muestra pública asociada a Necurs:
Code:
9b8f1ad48c7ad9f348872460cc8b7e3ae19d7dc985d4a32aaf1eb6d5a3d7bfb7

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus + Anti-rootkit avanzado:
    - Ejecutar escaneos completos con el motor AV de GetOverX Shield, incluyendo:
    - Directorios de sistema.
    - Drivers y servicios.
    - Utilizar capacidades anti-rootkit para:
    - Detectar drivers maliciosos cargados en modo kernel.
    - Identificar objetos ocultos (procesos, ficheros, claves de Registro) no visibles a nivel de usuario.
    - Cuarentenar/eliminar:
    - El driver rootkit.
    - Binarios auxiliares del botnet y loaders asociados.

  • HIPS / EDR – Monitoreo en profundidad:
    - Detectar comportamientos anómalos como:
    - Carga de drivers no firmados o con firmas sospechosas.
    - Manipulación de estructuras del sistema y llamadas de kernel.
    - Bloqueo sistemático de accesos de herramientas de seguridad a determinados procesos o rutas.
    - Configurar respuesta automática:
    - Impedir la carga de drivers no autorizados.
    - Registrar detalles (driver, ruta, firma) en logs unificados para análisis forense.

  • Hardening del sistema y control de drivers:
    - Activar políticas que:
    - Restringan la instalación de drivers sólo a administradores autorizados.
    - Exijan firma válida para controladores en sistemas recientes.
    - Auditar periódicamente:
    - Lista de drivers y servicios cargados en el arranque.
    - Cambios en claves de Registro críticas relacionadas con controladores y servicios.

  • Firewall y contención de la botnet:
    - Monitorizar y bloquear conexiones salientes hacia:
    - Dominios/IPs de mando y control (C2) asociadas a campañas de spam y ransomware.
    - Aislar equipos sospechosos:
    - Limitar su comunicación con otros endpoints internos.
    - Evitar que actúen como plataforma de reenvío de spam o distribución interna de malware.

  • Respuesta y remediación:
    - En equipos donde se sospeche de Necurs:
    - Considerar análisis fuera de línea (boot desde medio limpio) para limpieza de rootkit.
    - Realizar imagen de disco y captura de memoria para análisis forense.
    - Tras la erradicación:
    - Cambiar credenciales (especialmente en sistemas administrados desde el host comprometido).
    - Revisar correos, servidores y colas de spam para detectar abuso.

Notas opcionales:
- Necurs ha sido uno de los rootkits/botnets más relevantes en campañas de spam y distribución de ransomware, destacando por su resistencia a la detección gracias al uso intensivo de técnicas a nivel de kernel.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)