Pushdo botnet ay umuunlad, nagiging mas nababanat sa takedown na pagtatangka

Mga mananaliksik ng seguridad mula sa Damballa ay may natagpuan ng isang bagong variant ng Pushdo malware na mas mahusay sa pagtatago nito nakahahamak na trapiko sa network at mas nababanat sa coordinated mga pagsisikap ng takedown. > Ang programa ng Pushdo Trojan ay nagsisimula sa unang bahagi ng 2007 at ginagamit upang ipamahagi ang iba pang mga pagbabanta sa malware, tulad ng Zeus at SpyEye. Mayroon din itong sariling module ng spam engine, na kilala bilang Cutwail, na direktang responsable para sa isang malaking bahagi ng pang-araw-araw na trapiko ng spam.

Sinikap ng industriya ng seguridad na i-shut down ang Pushdo / Cutwail botnet nang apat na beses sa huling

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Noong Marso, ang mga mananaliksik sa seguridad mula sa Damballa ay nakilala ang mga bagong nakakahamak na pattern ng trapiko at nakapagsubaybay sa kanila pabalik sa isang bagong variant ng Pushdo malware.

"Ang pinakabagong variant ng PushDo ay nagdaragdag ng isa pang dimensyon sa pamamagitan ng paggamit ng domain fluxing na may Domain Generation Algorithms (DGAs) bilang isang fallback na mekanismo sa normal na command-and-control (C & C) na paraan ng komunikasyon, "Ang mga mananaliksik ng Damballa ay nagsabi Miyerkules sa isang blog post.

Ang malware ay bumubuo ng higit sa 1,000 di-umiiral na natatanging mga pangalan ng domain araw-araw at kumokonekta sa kanila kung hindi ito maaaring maabot ang hard-naka-code na mga server ng C & C. Dahil alam ng mga pag-atake kung paano gumagana ang algorithm, maaari silang magrehistro ng isa sa mga domain nang maaga at maghintay para sa mga bot upang kumonekta upang makapaghatid ng mga bagong tagubilin.

Ang pamamaraan na ito ay inilaan upang maging mahirap para sa mga mananaliksik sa seguridad upang mai-shut down ang Ang mga command-and-control server ng botnet o para sa mga produkto ng seguridad upang harangan ang trapiko ng C & C nito.

"Ang PushDo ay ang ikatlong pangunahing pamilya ng malware na naobserbahan ng Damballa sa huling 18 na buwan upang i-on ang mga diskarte ng DGA bilang isang paraan ng pakikipag-ugnayan sa C & C nito, "sabi ng mga mananaliksik ng Damballa. "Ang mga variant ng ZeuS malware family at ang TDL / TDSS malware ay gumagamit din ng DGA sa kanilang mga pamamaraan ng pag-iwas."

Nagtutulungan ang mga mananaliksik mula sa Damballa, Dell SecureWorks at ang Georgia Institute of Technology upang siyasatin ang bagong variant ng malware at sukatin ang epekto nito. Ang kanilang mga natuklasan ay na-publish sa isang pinagsamang ulat na inilabas Miyerkules.

Bilang karagdagan sa paggamit ng DGA diskarte, ang pinakabagong Pushdo variant ay nagtatanong din ng higit sa 200 mga lehitimong website sa isang regular na batayan upang magkasabay sa kanyang C & C na trapiko na may normal na nakikitang trapiko, Sa panahon ng imbestigasyon, 42 mga pangalan ng domain na nabuo sa pamamagitan ng Pushdo's DGA ay nakarehistro at ang mga kahilingan na ginawa sa kanila ay sinusubaybayan upang makakuha ng isang pagtatantya ng laki ng botnet.

"Sa loob ng halos dalawang buwan, napanood namin ang 1,038,915 natatanging mga IP na nagpapalabas ng binary data ng C & C sa aming sinkhole, "sabi ng mga mananaliksik sa kanilang ulat. Ang pang-araw-araw na bilang ay nasa pagitan ng 30,000 hanggang 40,000 natatanging IP (Internet Protocol) na address. Sinabi nila na ang mga bansa na may pinakamataas na bilang ng impeksyon ay Indya, Iran at Mexico, ayon sa nakolektang data. Ang Tsina, na karaniwang nasa itaas ng listahan para sa iba pang mga impeksiyon sa botnet, ay hindi kahit na sa pinakamataas na sampung, samantalang ang US ay nasa ika-anim lamang na lugar.

Ang Pushdo malware ay karaniwang ibinahagi sa pamamagitan ng drive-by-download na pag-atake-Web batay sa mga pag-atake na sinasamantala ang mga kahinaan sa mga plug-in ng browser o na-install ng iba pang mga botnet bilang bahagi ng mga pay-per-install scheme na ginagamit ng mga cybercriminal, sinabi ng mga mananaliksik.