Pushdo-botnet evolueert, wordt veerkrachtiger voor pogingen tot verwijdering

Beveiligingsonderzoekers van Damballa hebben een nieuwe variant van de Pushdo-malware gevonden die beter is in het verbergen van kwaadaardig netwerkverkeer en die beter bestand is tegen gecoördineerde verwijderingsinspanningen. > Het Pushdo Trojan-programma dateert van begin 2007 en wordt gebruikt voor het verspreiden van andere malwarebedreigingen, zoals Zeus en SpyEye. Het komt ook met een eigen spam-engine-module, bekend als Cutwail, die direct verantwoordelijk is voor een groot deel van het dagelijkse spamverkeer van de wereld.

De beveiligingsindustrie heeft geprobeerd het Pushdo / Cutwail-botnet vier keer uit te schakelen tijdens de laatste vijf jaar, maar die inspanningen hebben alleen geleid tot tijdelijke onderbrekingen.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

In maart ontdekten beveiligingsonderzoekers uit Damballa nieuwe kwaadaardige verkeerspatronen en konden ze terug traceren naar een nieuwe variant van de Pushdo-malware.

"De nieuwste variant van PushDo voegt een andere dimensie toe door domeinfluxen te gebruiken met Domain Generation Algorithms (DGA's) als een terugvalmechanisme naar zijn normale command-and-control (C & C) communicatiemethoden, "de Damballa-onderzoekers zeiden woensdag in een blogpost.

De malware genereert elke dag meer dan 1.000 niet-bestaande unieke domeinnamen en maakt er verbinding mee als het zijn hard-gecodeerde C & C-servers niet kan bereiken. Omdat de aanvallers weten hoe het algoritme werkt, kunnen ze een van die domeinen van tevoren registreren en wachten tot de bots verbinding maken om nieuwe instructies te leveren.

Deze techniek is bedoeld om het voor beveiligingsonderzoekers moeilijk te maken de de command-and-control-servers van botnet of voor beveiligingsproducten om het C & C-verkeer te blokkeren.

"PushDo is de derde grote malwarefamilie die Damballa de afgelopen 18 maanden heeft waargenomen om zich te wenden tot DGA-technieken als een middel om te communiceren met zijn C & C, "zeiden de Damballa-onderzoekers. "Varianten van de ZeuS-malwarefamilie en de TDL / TDSS-malware gebruiken DGA ook bij hun ontwijkingsmethoden."

Onderzoekers van Damballa, Dell SecureWorks en het Georgia Institute of Technology werkten samen om de nieuwe variant van de malware te onderzoeken en de impact ervan te meten. Hun bevindingen werden gepubliceerd in een gezamenlijk rapport van woensdag.

Naast de DGA-technieken, bevraagt ​​de nieuwste Pushdo-variant ook regelmatig meer dan 200 legitieme websites om het C & C-verkeer te integreren met normaal ogend verkeer, de onderzoekers zeiden.

Tijdens het onderzoek werden 42 domeinnamen gegenereerd door DGA Pushdo's geregistreerd en de verzoeken aan hen werden gemonitord om een ​​schatting van de grootte van het botnet te krijgen.

"Gedurende de periode van bijna twee maanden, we hebben 1.038.915 unieke IP's waargenomen die C & C binaire gegevens in onze sinkhole plaatsen ", zeiden de onderzoekers in hun rapport. De dagelijkse telling was tussen 30.000 en 40.000 unieke IP-adressen (Internet Protocol), zeiden ze.

Volgens de verzamelde gegevens zijn de landen met het hoogste aantal infecties India, Iran en Mexico. China, dat normaal gesproken bovenaan de lijst staat voor andere botnet-infecties, staat zelfs niet in de top tien, terwijl de VS slechts op de zesde plaats staan.

De Pushdo-malware wordt over het algemeen gedistribueerd via drive-by downloadaanvallen - Web op basis van aanvallen die kwetsbaarheden in browserinvoegtoepassingen misbruiken of die door andere botnets worden geïnstalleerd als onderdeel van pay-per-install-schema's die worden gebruikt door cybercriminelen, aldus de onderzoekers.