Pushdo-Botnet entwickelt sich weiter, wird widerstandsfähiger gegen Takedown-Versuche

Sicherheitsforscher aus Damballa haben eine neue Variante der Pushdo-Malware gefunden, die ihren bösartigen Netzwerkverkehr besser verbergen kann und resistenter gegen koordinierte Beseitigungsanstrengungen ist.

Das Pushdo-Trojaner-Programm stammt aus dem Frühjahr 2007 und dient zur Verbreitung anderer Malware-Bedrohungen wie Zeus und SpyEye. Es ist auch mit einem eigenen Modul für Spam-Engines, bekannt als Cutwail, ausgestattet, das direkt für einen großen Teil des weltweiten täglichen Spamverkehrs verantwortlich ist.

Die Sicherheitsindustrie hat das Pushdo / Cutwail-Botnetz während der letzten vier Mal abgeschaltet fünf Jahre, aber diese Bemühungen führten nur zu vorübergehenden Störungen.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Im März identifizierten Sicherheitsforscher aus Damballa neue bösartige Datenverkehrsmuster und konnten sie zurückverfolgen zu einer neuen Variante der Pushdo-Malware.

"Die neueste Variante von PushDo fügt eine weitere Dimension hinzu, indem Domain Fluxing mit Domain Generation Algorithms (DGAs) als Fallback-Mechanismus für seine normalen Command-and-Control-Kommunikationsmethoden verwendet wird. "Die Damballa Forscher sagte Mittwoch in einem Blog-Post.

Die Malware generiert mehr als 1.000 nicht existent eindeutige Domainnamen jeden Tag und stellt eine Verbindung zu ihnen her, wenn es nicht seine hartcodierten C & C-Server erreichen kann. Da die Angreifer wissen, wie der Algorithmus funktioniert, können sie eine dieser Domänen im Voraus registrieren und warten, bis die Bots eine Verbindung herstellen, um neue Anweisungen zu liefern.

Diese Technik soll es Sicherheitsforschern erschweren, das System herunterzufahren Botnets Command-and-Control-Server oder für Sicherheitsprodukte, um seinen C & C-Verkehr zu blockieren.

"PushDo ist die dritte große Malware-Familie, die Damballa in den letzten 18 Monaten beobachtet hat, um mit DGA-Techniken zu kommunizieren ", sagten die Damballa-Forscher. "Varianten der ZeuS-Malware-Familie und der TDL / TDSS-Malware verwenden DGA ebenfalls in ihren Umgehungsmethoden."

Forscher von Damballa, Dell SecureWorks und dem Georgia Institute of Technology arbeiteten zusammen, um die neue Variante der Malware zu untersuchen und deren Auswirkungen zu messen. Ihre Ergebnisse wurden in einem gemeinsamen Bericht am Mittwoch veröffentlicht.

Neben der Verwendung von DGA-Techniken fragt die neueste Pushdo-Variante auch regelmäßig mehr als 200 legitime Websites ab, um ihren C & C-Verkehr mit normal aussehenden Datenverkehr zu verbinden Forscher sagten.

Während der Untersuchung wurden 42 von Pushdo's DGA erzeugte Domainnamen registriert und die an sie gerichteten Anfragen wurden überwacht, um eine Schätzung der Größe des Botnetzes zu erhalten.

"Über den Zeitraum von fast zwei Monaten, Wir haben 1.038.915 einzigartige IPs beobachtet, die C & C-Binärdaten in unser Loch geschrieben haben ", sagten die Forscher in ihrem Bericht. Die tägliche Zählung betrage zwischen 30.000 und 40.000 eindeutige IP-Adressen (Internet Protocol), sagten sie.

Die Länder mit den höchsten Infektionszahlen sind laut den gesammelten Daten Indien, der Iran und Mexiko. China, das bei anderen Botnet-Infektionen in der Regel an der Spitze steht, ist nicht einmal unter den Top Ten, während die USA nur auf Platz sechs liegt.

Die Pushdo-Malware wird in der Regel über Drive-by-Download-Angriffe verbreitet Angriffe, die Sicherheitslücken in Browser-Plug-Ins ausnutzen oder von anderen Botnets im Rahmen von Pay-per-Install-Schemas installiert werden, die von Cyberkriminellen verwendet werden, sagten die Forscher.