Pushdo-Botnetz entwickelt sich, wird weniger anfällig für Takedown Versuche

2013-12-30  |  Comebuy News

Sicherheitsexperten von Damballah haben eine neue Variante der Pushdo-Malware gefunden, die besser verstecken seine schädlichen Netzwerkverkehr und ist weniger anfällig für koordinierte Takedown Anstrengungen.

Comebuy Verwandte Artikel: Elusive TDL4 Malware-Variante infiziert Fortune 500-Unternehmen, Regierungsbehörden, Forscher SaySpyEye Source Code ist ein Double-Edged SwordMalware Autoren erweitern Sie nutzen Domäne Generation Algorithmen, um DetectionHuge, Spam-Botnetz verletzt zu umgehen aber Kämpfe OnKelihos Bande baut eine neue Botnet, sagen Forscher

Das Trojaner Pushdo-Programm stammt aus dem Anfang 2007 und wird verwendet, um andere Malware-Bedrohungen, wie Zeus und SpyEye zu verteilen. Es kommt auch mit eigenen Spam-Engine-Modul, genannt Cutwail, die direkt für einen großen Teil der täglichen Spam-Verkehr der Welt verantwortlich ist.

Die Sicherheitsbranche hat versucht, die Pushdo/Cutwail Botnet viermal in den letzten fünf Jahren heruntergefahren, aber diese Bemühungen führten nur vorübergehende Unterbrechungen.

Im März Sicherheitsexperten von Damballah identifiziert neue bösartige Datenverkehrsmuster und waren in der Lage, ihnen zu einer neuen Variante des Pushdo-Malware zurückverfolgen.

"Die neueste Variante des PushDo fügt eine weitere Dimension mithilfe der Domäne Fluxen mit Domain-Generation-Algorithmen (DGAs) als ein Sicherungsmechanismus zu seiner normalen Befehl-und-Control (C & C) Kommunikationsmethoden," sagte der Damballah-Forscher am Mittwoch in einem Blog-Post.

Die Malware generiert mehr als 1.000 inexistent eindeutigen Domain-Namen jeden Tag und verbindet sich mit ihnen, wenn ihre hartcodierten C & C erreicht werden kann Server. Da die Angreifer kennen die Funktionsweise des Algorithmus, können sie eine dieser Domänen im Voraus zu registrieren und warten auf die Bots anschließen, um neue Hinweise zu liefern.

Diese Technik soll machen es schwer für Sicherheitsexperten der Botnet-Kommando-und Kontroll-Server heruntergefahren oder Verkehr für Sicherheitsprodukte, die C & C zu blockieren.

"PushDo ist die dritte große Malware-Familie, die in den letzten 18 Monaten an DGA Techniken als ein Mittel der Kommunikation mit C & C wenden Damballah beobachtet hat", sagte die Damballah-Forscher. "Varianten der ZeuS-Malware-Familie und die TDL/TDSS-Malware verwenden auch DGA in ihren Methoden ausweichen."

Forscher aus Damballah, Dell SecureWorks und dem Georgia Institute of Technology zusammengearbeitet, um die Malware neue Variante zu untersuchen und ihre Auswirkungen zu messen. Ihre Ergebnisse wurden in einem gemeinsamen Bericht veröffentlicht Mittwoch veröffentlicht.

Neben der Verwendung DGA-Techniken, die neuesten Pushdo-Variante auch Abfragen über 200 seriöse Websites regelmäßig um seine C & C gemischt Verkehr mit Normal aussehenden Verkehr, sagte der Forscher.

Während der Untersuchung 42 Domain-Namen von Pushdo des generierten DGA wurden registriert und mit Ihnen die Anträge wurden überwacht, um eine Abschätzung der Botnet-Größe zu erhalten.

"Im Zeitraum von fast zwei Monaten beobachteten wir 1.038.915 einzigartige IPs Entsendung C & C binäre Daten zu unseren Doline," sagte der Forscher in ihrem Bericht. Die Anzahl die tägliche zwischen 30.000 bis 40.000 eindeutige IP (Internet Protocol) Adresse war, sagte sie.

Die Länder mit der höchsten Anzahl der Infektion sind Indien, Iran und Mexiko, nach der gesammelten Daten. China, das in der Regel an der Spitze der Liste für andere Botnet-Infektionen ist, ist nicht einmal in den Top Ten, während die USA nur an sechster Stelle.

Die Pushdo-Malware im Allgemeinen durch Drive-by-Download Angriffe--Web-basierte Angriffe vertrieben wird, die Sicherheitslücken in Browser-Plug-ins-- oder durch andere Botnets installiert ist, im Rahmen der Pay-pro-Install Teilregelungen von Cyberkriminellen, sagte der Forscher.

« Back