Pushdo botnet razvija, postaje otporniji na pokušaje uklanjanja

Sigurnosni istraživači iz Damballa pronašli su novu varijantu Pushdo zlonamjernog softvera koji je bolji u skrivanju zlonamjernog mrežnog prometa i otporniji je na koordinirane napade za uklanjanje.

Program Pushdo Trojanski datiran je početkom 2007. godine i koristi se za distribuciju ostalih prijetnji zlonamjernim softverom, kao što su Zeus i SpyEye. Ona također dolazi s vlastitim modulom spam motora, poznat kao Cutwail, koji je izravno odgovoran za veliki dio dnevnog dnevnog spam prometa.

Sigurnosna industrija pokušala je četiri puta zatvarati Pushdo / Cutwail botnet tijekom posljednjeg

U ožujku su istraživači sigurnosti iz Damballa otkrili nove zlonamjerne uzorke prometa i uspjeli ih vratiti u trag na novu varijantu Pushdo zlonamjernih programa.

"Najnovija varijanta PushDo-a dodaje drugu dimenziju pomoću alata za generiranje domene (DGA-ova) kao zamjenskog mehanizma uobičajenim komunikacijskim metodama naredbe i kontrole (C & C) ", izjavili su Damballa istraživači u srijedu na blogu.

Zlonamjerni softver generira više od 1000 nepostojećih jedinstvenih naziva domena svaki dan i povezuje se s njima ako ne može doći do svojih hardkoga poslužitelja za C i C. Budući da napadači znaju kako algoritam funkcionira, one mogu registrirati jednu od tih domena unaprijed i pričekati da se botovi povezuju kako bi mogli isporučiti nove upute. Ova tehnika namjerava otežati sigurnosnim istraživačima da isključe botnetovim poslužiteljima za nadzor i kontrolu ili za sigurnosne proizvode kako bi blokirali svoj C & C promet.

PushDo je treća najveća zlonamjerna obitelj koja je Damballa u zadnjih 18 mjeseci primijetila da se DGA tehnike pretvori u sredstvo komuniciranja s C & C, "rekao je Damballa istraživači. "Varijante ZeuS malware obitelji i TDL / TDSS zlonamjernih programa također koriste DGA u njihovim metodama izbjegavanja."

Istraživači Damballa, Dell SecureWorks i Georgia Institute of Technology zajedno su istraživali novu varijantu zlonamjernog softvera i mjerili njegov utjecaj. Njihovi nalazi objavljeni su u zajedničkom izvješću objavljenom u srijedu.

Osim korištenja DGA tehnika, najnovija Pushdo varijanta također redovito traži više od 200 legitimnih web stranica kako bi se uklopila u svoj C & C promet sa prometom koji izgleda normalno. istraživači su rekli.

Tijekom istrage je registrirano 42 imena domena koje je generirao Pushdoov DGA, a prate se zahtjevi za njih kako bi se procijenila veličina botneta.

"Tijekom razdoblja od gotovo dva mjeseca, primijetili smo 1.038.915 jedinstvenih IP-ova koji objavljuju C & C binarne podatke u našu ponornicu ", navode istraživači u svom izvješću. Prema podacima prikupljenih podataka, zemlje s najvećom brojem infekcije su Indija, Iran i Meksiko. Kina, koja je obično na vrhu popisa za druge infekcije botnetom, čak ni u prvih deset, dok je SAD samo na šestom mjestu.

Pushdo zlonamjerni softver općenito se distribuira putem napada-download napada a koji su instalirani od strane drugih botneta kao dio sustava plaćanja po instaliranju koje koriste cyber-kriminalci, navode istraživači.