Botnet Pushdo ewoluuje, staje się odporniejszy na próby usunięcia

Badacze bezpieczeństwa z Damballa znaleźli nowy wariant szkodliwego oprogramowania Pushdo, który lepiej ukrywa złośliwy ruch w sieci i jest bardziej odporny na skoordynowane próby usunięcia.

Program trojana Pushdo powstał na początku 2007 r. I służy do rozpowszechniania innych złośliwych programów, takich jak Zeus i SpyEye. Jest również wyposażony we własny moduł silnika antyspamowego, znany jako Cutwail, który jest bezpośrednio odpowiedzialny za dużą część światowego ruchu spamowego.

Branża bezpieczeństwa próbowała zamknąć botnet Pushdo / Cutwail cztery razy podczas ostatniego Pięć lat, ale wysiłki te doprowadziły jedynie do tymczasowych zakłóceń.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

W marcu analitycy bezpieczeństwa z Damballa zidentyfikowali nowe złośliwe wzorce ruchu i mogli je prześledzić do nowego wariantu złośliwego oprogramowania Pushdo.

"Najnowszy wariant PushDo dodaje inny wymiar, wykorzystując topienie domeny przy pomocy algorytmów generowania domen (DGA) jako mechanizmu awaryjnego do jego zwykłych metod komunikacji sterowniczo-kontrolnej (C & C), "Naukowcy z Damballa powiedzieli w środę w poście na blogu.

Złośliwe oprogramowanie generuje codziennie ponad 1000 nieistniejących niepowtarzalnych nazw domen i łączy się z nimi, jeśli nie może dotrzeć do swoich zakodowanych serwerów kontroli. Ponieważ atakujący wiedzą, jak działa algorytm, mogą zarejestrować jedną z tych domen z wyprzedzeniem i czekać na połączenie botów w celu dostarczenia nowych instrukcji.

Ta technika ma na celu utrudnić badaczom bezpieczeństwa zamknięcie serwery kontrolujące botnet lub produkty bezpieczeństwa blokujące jego ruch związany z C & C.

"PushDo jest trzecią główną rodziną szkodliwego oprogramowania, którą Damballa zaobserwował w ciągu ostatnich 18 miesięcy, aby zwrócić się do technik DGA jako środek komunikacji z jej C & C, "powiedzieli naukowcy Damballa. "Warianty złośliwego oprogramowania ZeuS i szkodliwego oprogramowania TDL / TDSS również wykorzystują DGA w swoich metodach uchylania się."

Naukowcy z Damballa, Dell SecureWorks i Georgia Institute of Technology pracowali razem, aby zbadać nowy wariant złośliwego oprogramowania i zmierzyć jego wpływ. Wyniki badań zostały opublikowane we wspólnym raporcie opublikowanym w środę.

Oprócz używania technik DGA, najnowszy wariant Pushdo regularnie sprawdza również ponad 200 legalnych stron internetowych, aby połączyć swój ruch w C & C z normalnie wyglądającym ruchem. Naukowcy stwierdzili:

W trakcie dochodzenia zarejestrowano 42 nazwy domen wygenerowane przez Ddo Pushdo, a wnioski do nich wysłane były monitorowane w celu oszacowania rozmiaru botnetu.

"W okresie prawie dwóch miesięcy, zaobserwowaliśmy 1 038 915 unikalnych adresów IP umieszczających dane binarne C & C w naszym otworze "- powiedzieli naukowcy w swoim raporcie. Według zebranych danych dzienna liczba wynosiła od 30 000 do 40 000 unikatowych adresów IP (Internet Protocol).

Kraje o najwyższym poziomie infekcji to Indie, Iran i Meksyk. Chiny, które zwykle znajdują się na szczycie listy innych infekcji botnetowych, nie znajdują się nawet w pierwszej dziesiątce, podczas gdy Stany Zjednoczone zajmują dopiero szóste miejsce.

Złośliwe oprogramowanie Pushdo jest generalnie dystrybuowane za pośrednictwem ataków drive-by download-Web oparte na atakach, które wykorzystują luki w wtyczkach do przeglądarek lub są instalowane przez inne botnety w ramach systemów pay-per-install używanych przez cyberprzestępców, stwierdzili naukowcy.