Το Botnet Pushdo εξελίσσεται, γίνεται πιο ανθεκτικό στις προσπάθειες κατάργησης

Το πρόγραμμα Trojan Pushdo χρονολογείται από τις αρχές του 2007 και χρησιμοποιείται για τη διανομή άλλων απειλών κακόβουλου λογισμικού, όπως το Zeus και το SpyEye. Έχει επίσης τη δική του μονάδα ανεπιθύμητης αλληλογραφίας, γνωστή ως Cutwail, η οποία είναι άμεσα υπεύθυνη για μεγάλο μέρος της καθημερινής κυκλοφορίας spam στον κόσμο.

Η βιομηχανία ασφαλείας προσπάθησε να τερματίσει τέσσερις φορές το botnet Pushdo / Cutwail κατά τη διάρκεια της τελευταίας αλλά οι προσπάθειες αυτές είχαν ως αποτέλεσμα μόνο προσωρινές διαταραχές

Τον Μάρτιο, οι ερευνητές της Damballa ανέφεραν νέα κακόβουλα μοντέλα κυκλοφορίας και κατάφεραν να τα εντοπίσουν σε μια νέα παραλλαγή του κακόβουλου λογισμικού Pushdo

"Η τελευταία παραλλαγή του PushDo προσθέτει μια άλλη διάσταση χρησιμοποιώντας τη ροή τομέων με τους Αλγόριθμους Δημιουργίας Τομέων (DGAs) ως έναν εναλλακτικό μηχανισμό στις συνήθεις μεθόδους επικοινωνίας εντολών και ελέγχου (C & C) "Οι ερευνητές της Damballa δήλωσαν την Τετάρτη σε μια θέση blog

. Το κακόβουλο λογισμικό παράγει πάνω από 1.000 ανύπαρκτα μοναδικά ονόματα τομέων κάθε μέρα και συνδέεται με αυτά αν δεν μπορεί να φτάσει στους σκληρούς κωδικούς C & C servers του. Δεδομένου ότι οι επιτιθέμενοι γνωρίζουν πώς λειτουργεί ο αλγόριθμος, μπορούν να εγγράψουν έναν από αυτούς τους τομείς εκ των προτέρων και να περιμένουν να συνδεθούν οι bots για να δώσουν νέες οδηγίες.

Αυτή η τεχνική έχει σκοπό να κάνει δύσκολο για τους ερευνητές ασφαλείας να κλείσουν οι διακομιστές εντολών και ελέγχου του botnet ή τα προϊόντα ασφαλείας για να εμποδίσουν την κυκλοφορία C & C.

Το PushDo είναι η τρίτη σημαντική οικογένεια κακόβουλου λογισμικού που η Damballa έχει παρατηρήσει τους τελευταίους 18 μήνες να στραφεί στις τεχνικές DGA ως μέσο επικοινωνίας με την C &, δήλωσαν οι ερευνητές της Damballa. "Οι παραλλαγές της οικογένειας κακόβουλων προγραμμάτων ZeuS και του κακόβουλου λογισμικού TDL / TDSS χρησιμοποιούν επίσης την DGA στις μεθόδους φοροδιαφυγής."

Οι ερευνητές της Damballa, της Dell SecureWorks και του Ινστιτούτου Τεχνολογίας της Γεωργίας συνεργάστηκαν για να διερευνήσουν τη νέα παραλλαγή του κακόβουλου λογισμικού και να μετρήσουν τον αντίκτυπό του. Τα ευρήματά τους δημοσιεύθηκαν σε κοινή έκθεση που κυκλοφόρησε την Τετάρτη.

Εκτός από τη χρήση τεχνικών DGA, η τελευταία έκδοση Pushdo διερωτάται επίσης πάνω από 200 νόμιμους ιστότοπους σε τακτική βάση, προκειμένου να συνδυάσει την κυκλοφορία C & C με κανονική κίνηση. σύμφωνα με τους ερευνητές, κατά τη διάρκεια της έρευνας, καταγράφηκαν 42 ονόματα τομέων που δημιουργήθηκαν από την DGA της Pushdo και τα αιτήματα που υποβλήθηκαν σε αυτά ελέγχθηκαν για να υπολογιστεί το μέγεθος του botnet

"Κατά τη διάρκεια σχεδόν δύο μηνών, παρατηρήσαμε 1.038.915 μοναδικές διευθύνσεις IP που δημοσιεύουν δυαδικά δεδομένα C & C στην αποβάθρα μας ", ανέφεραν οι ερευνητές στην έκθεσή τους. Η ημερήσια μέτρηση ήταν μεταξύ 30.000 και 40.000 μοναδικών διευθύνσεων IP (Internet Protocol).

Οι χώρες με την υψηλότερη συχνότητα μόλυνσης είναι η Ινδία, το Ιράν και το Μεξικό, σύμφωνα με τα δεδομένα που συλλέχθηκαν. Η Κίνα, η οποία είναι συνήθως στην κορυφή της λίστας για άλλες λοιμώξεις του botnet, δεν είναι καν στην πρώτη δεκάδα, ενώ οι ΗΠΑ βρίσκονται στην έκτη θέση.

Το malware Pushdo διανέμεται γενικά μέσω επιθέσεων download-web βασισμένες σε επιθέσεις που εκμεταλλεύονται τα τρωτά σημεία των plug-ins του προγράμματος περιήγησης ή είναι εγκατεστημένα από άλλα botnets ως μέρος των συστημάτων pay-per-install που χρησιμοποιούν οι κυβερνοεγκληματίες, ανέφεραν οι ερευνητές.