Pushdo botnet gelişiyor, yayından kaldırma girişimlerine daha dayanıklı hale geliyor

Damballa'dan güvenlik araştırmacıları, kötü niyetli ağ trafiğini gizlemekte daha iyi olan ve eşgüdümlü yayından kaldırma çabalarına karşı daha dayanıklı olan yeni bir Pushdo kötü amaçlı yazılım geliştirdi.

Pushdo Trojan programı, 2007'nin başlarına dayanıyor ve Zeus ve SpyEye gibi diğer kötü amaçlı yazılım tehditlerini dağıtmak için kullanılıyor. Aynı zamanda, dünyanın günlük spam trafiğinin büyük bir kısmından doğrudan sorumlu olan kendi kendine kesme motoru olan Cutwail ile birlikte geliyor.

Güvenlik endüstrisi son 4 kez Pushdo / Cutwail botnet'i durdurmaya çalıştı. Beş yıl ama bu çabalar sadece geçici kesintilerle sonuçlandı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Mart ayında, Damballa'daki güvenlik araştırmacıları yeni kötü amaçlı trafik paternleri tespit ettiler ve onları geri izleyebildiler. Pushdo'nun yeni bir varyantı için.

"PushDo'nun en yeni versiyonu, Etki Alanı Oluşturma Algoritmaları (DGA'lar) ile etki alanı akışını, normal komut ve kontrol (C & C) iletişim yöntemlerine yönelik bir geri dönüş mekanizması olarak kullanarak başka bir boyut ekliyor. "Damballa araştırmacıları Çarşamba gününü bir blogda yayınladılar.

Kötü amaçlı yazılım her gün 1.000'den fazla var olmayan benzersiz alan adı üretir ve kodlanmış C & C sunucularına ulaşamazsa bunlara bağlanır. Saldırganlar, algoritmanın nasıl çalıştığını bildiğinden, bu alanlardan birini önceden kaydedebilir ve botların yeni talimatlar vermesi için bağlantı kurmasını bekler.

Bu teknik, güvenlik araştırmacılarının güvenlik açığını kapatmasını zorlaştırmak için tasarlanmıştır. botnet'in komut ve kontrol sunucuları ya da C & C trafiğini engellemek için güvenlik ürünleri için.

"PushDo, Damballa'nın son 18 ay içinde C & C ile iletişim kurmanın bir aracı olarak DGA tekniklerine yöneldiği üçüncü büyük malware ailesi., "Damballa araştırmacıları söyledi. "ZeuS kötü amaçlı yazılım ailesinin ve TDL / TDSS kötü amaçlı yazılımın varyantları aynı zamanda DGA'yı kaçırma yöntemlerinde de kullanıyor."

Damballa, Dell SecureWorks ve Georgia Institute of Technology'den araştırmacılar, kötü amaçlı yazılımın yeni varyantını araştırmak ve etkisini ölçmek için birlikte çalıştılar. Bulguları Çarşamba günü yayınlanan ortak bir raporda yayınlandı.

DGA tekniklerini kullanmaya ek olarak, en son Pushdo varyantı da normal görünümlü trafiğe sahip C & C trafiğini harmanlamak için düzenli olarak 200 meşru web sitesini sorgular. Araştırmacılar dedi.

Soruşturma sırasında, Pushdo'nun DGA'sı tarafından oluşturulan 42 alan adı kaydedildi ve botnet'in büyüklüğünü tahmin etmek için kendilerine yapılan talepler izlendi.

"Yaklaşık iki ay boyunca, Araştırmacılar raporlarında “1.038.915 benzersiz C & C ikili veriyi kendi deliğimize gönderiyoruz. Günlük sayım 30.000 ile 40.000 arasında benzersiz IP (İnternet Protokolü) adresi arasındaydı.

En yüksek enfeksiyon sayısına sahip ülkeler toplanan verilere göre Hindistan, İran ve Meksika'dır. Genelde diğer botnet enfeksiyonları için listenin en başında yer alan Çin, ilk onda bile değilken, ABD yalnızca altıncı sırada.

Pushdo kötü amaçlı yazılımlar, genellikle indirme-indirme saldırıları yoluyla dağıtılıyor Araştırmacılar, tarayıcı eklentilerindeki güvenlik açıklarından yararlanan veya siber suçluların kullandığı yükleme başına ödeme planlarının bir parçası olarak diğer botnet'ler tarafından yüklenen temelli saldırılar olduğunu söyledi.