Pushdo botnet se vyvíjí, stává se odolnější proti pokusům o potírání

Vědci v oblasti bezpečnosti z firmy Damballa našli novou variantu malware Pushdo, která je lepší při skrývání škodlivého síťového provozu a je odolnější vůči koordinovaným snahám o stažení. > Program Pushdo Trojan se datuje od počátku roku 2007 a používá se k šíření dalších malwarových hrozeb, jako jsou Zeus a SpyEye. Dodává se také s vlastním modulem nevyžádané pošty, známým jako Cutwail, který je přímo zodpovědný za velkou část každodenního spamového provozu na světě.

Bezpečnostní průmysl se během posledního pokusu čtyřikrát vypnul Pushdo / Cutwail botnet pět let, ale tyto snahy vedly pouze k dočasnému narušení.

V březnu výzkumníci z Damballa identifikovali nové škodlivé dopravní vzorce a byli schopni je sledovat na novou variantu malware Pushdo

"Nejnovější verze PushDo přidává další dimenzi pomocí tzv. fuzzy domény s algoritmy generování domén (DGAs) jako záložní mechanismus pro běžné komunikační metody příkazu a řízení (C & C) "uvedl výzkumník společnosti Damballa ve středu blogu.

Malware generuje více než 1 000 neexistujících jedinečných doménových jmen každý den a připojí se k nim, pokud nedokáže oslovit své hardwarově zakódované servery C & C. Vzhledem k tomu, že útočníci vědí, jak algoritmus funguje, mohou předem zaregistrovat jednu z těchto domén a čekat, až se roboty připojí k tomu, aby dali nové pokyny.

Tato technika má zabránit bezpečnostním vědcům, aby vypnuli servery příkazového a řídícího systému botnet nebo bezpečnostní produkty, které blokují jeho provoz C & C.

"PushDo je třetí největší rodina malwaru, kterou společnost Damballa za posledních osmnáct měsíců pozorovala, aby se obrátila na techniky DGA jako prostředek komunikace se svými C & C, "uvedli výzkumníci společnosti Damballa. "Varianty malware rodiny ZeuS a malware TDL / TDSS také používají DGA ve svých metodách útěku."

Vědci z Damballa, Dell SecureWorks a Institute of Technology v Gruzii spolupracovali, aby vyšetřili novou variantu malwaru a změřili její dopad. Jejich nálezy byly zveřejněny ve společné zprávě zveřejněné ve středu.

Kromě použití metod DGA, nejnovější verze Pushdo také pravidelně vyhledává více než 200 oprávněných webových stránek, aby se spojila s provozem C & C s běžným provozem. "

Během šetření bylo zaregistrováno 42 doménových jmen generovaných DG Pushdo a jejich žádosti byly sledovány, aby získaly odhad velikosti botnetu

" Během téměř dvou měsíců, jsme pozorovali 1 038 915 unikátních IP adres, které zveřejňují binární data C & C do naší záchytné jámy, "uvedli výzkumní pracovníci ve své zprávě. Denní počet se pohyboval mezi 30 000 až 40 000 jedinečnými adresami IP (Internet Protocol).

Podle shromážděných dat jsou země s nejvyšším počtem infekcí Indii, Íránu a Mexiku. Čína, která je obvykle na špičce seznamu pro jiné botnetové infekce, není ani v první desítce, zatímco USA je pouze na šestém místě.

Pushdo malware je obecně distribuován prostřednictvím útoků download-drive které využívají zranitelná místa v zásuvných modulech prohlížeče - nebo jsou instalovány jinými botnety jako součást programů placení za instalaci, které používají kybernetické zločiny, tvrdí výzkumníci