Pushdo botnet utvikler seg, blir mer motstandsdyktig for å ta tak i forsøk

Sikkerhetsforskere fra Damballa har funnet en ny variant av Pushdo-malware som bedre kan gjemme sin skadelige nettverkstrafikk og er mer motstandsdyktig mot samordnet takedown-innsats.

Pushdo Trojan-programmet går tilbake til begynnelsen av 2007, og brukes til å distribuere andre malware trusler, som Zeus og SpyEye. Den kommer også med sin egen spammotormodul, kjent som Cutwail, som er direkte ansvarlig for en stor del av verdens daglige spamtrafikk.

Sikkerhetsindustrien har forsøkt å slå ned Pushdo / Cutwail botnet fire ganger i løpet av det siste fem år, men disse anstrengelsene resulterte bare i midlertidige forstyrrelser.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I mars identifiserte sikkerhetsforskere fra Damballa nye skadelige trafikkmønstre og klarte å spore dem tilbake til en ny variant av Pushdo-malware.

"Den nyeste varianten av PushDo legger til en annen dimensjon ved å bruke domeneflyting med Domain Generation Algorithms (DGA) som en tilbakekoblingsmekanisme til sine normale kommando- og kontrollkommunikasjonsmetoder (C & C) "Damballa-forskerne sa onsdag i et blogginnlegg.

Malware genererer over 1.000 ikke-eksisterende unike domenenavn hver dag og kobler til dem dersom de ikke kan nå sine hardkodede C & C-servere. Siden angriperne vet hvordan algoritmen fungerer, kan de registrere en av disse områdene på forhånd og vente på at botsene skal kobles for å levere nye instruksjoner.

Denne teknikken skal gjøre det vanskelig for sikkerhetsforskere å stenge ned Botnet er kommando- og kontrollservere eller for sikkerhetsprodukter for å blokkere sin C & C-trafikk.

"PushDo er den tredje store malware-familien som Damballa har observert de siste 18 månedene for å vende seg til DGA-teknikker som et middel til å kommunisere med sin C & C, sier Damballa-forskerne. "Varianter av ZeuS malware-familien og TDL / TDSS malware bruker også DGA i deres unnvikelsesmetoder."

Forskere fra Damballa, Dell SecureWorks og Georgia Institute of Technology jobbet sammen for å undersøke malwareens nye variant og måle dens innvirkning. Resultatene deres ble publisert i en felles rapport som ble utgitt onsdag.

I tillegg til å bruke DGA-teknikker, spør den nyeste Pushdo-varianten regelmessig over 200 legitime nettsteder for å blande sin C & C-trafikk med vanlig trafikk, forskere sa.

Under undersøkelsen ble 42 domenenavn generert av Pushdo's DGA registrert, og forespørslene til dem ble overvåket for å få en estimering av botnetets størrelse.

"I løpet av nesten to måneder, vi observerte 1.038.915 unike IPs-posting C & C-binære data til vårt hull, "sa forskerne i sin rapport. Den daglige tellingen var mellom 30 000 til 40 000 unike IP-adresser (Internet Protocol), sa de.

Landene med høyest infeksjonstall er India, Iran og Mexico, ifølge de innsamlede dataene. Kina, som vanligvis er øverst i listen for andre botnetinfeksjoner, er ikke engang i topp ti, mens USA bare er på sjetteplass.

Pushdo-malware distribueres vanligvis gjennom nedlastingsangrep på Internett -baserte angrep som utnytter sårbarheter i nettleser-plugin-moduler, eller er installert av andre botnets som en del av betalingssystemer som brukes av cyberkriminelle, sa forskerne.