Damballa的安全研究人员发现了一种新型的Pushdo恶意软件,它可以更好地隐藏其恶意网络流量,并且对协调删除工作更具适应能力。
Pushdo木马程序可追溯到2007年初,用于分发其他恶意软件威胁,如Zeus和SpyEye。它还配备了自己的垃圾引擎模块,名为Cutwail,它直接负责世界大部分日常垃圾流量。
安全行业曾试图在最后一次关闭Pushdo / Cutwail僵尸网络四次五年,但这些努力只会导致暂时的中断。
[更多阅读:如何从您的Windows PC中删除恶意软件]3月,Damballa的安全研究人员发现了新的恶意流量模式,并能够追溯到他们到Pushdo恶意软件的新变体
“PushDo的最新版本通过将域生成算法(DGAs)与领域生成算法(DGAs)混合使用,作为其正常命令与控制(C&C)通信方法的后备机制, “Damballa的研究人员周三在一篇博客文章中称,
恶意软件每天都会生成超过1,000个不存在的唯一域名,并在它们无法访问其硬编码的C&C服务器时连接到它们。由于攻击者知道算法是如何工作的,他们可以事先注册其中一个域名,并等待僵尸程序连接以发送新的指令。
这种技术旨在使安全研究人员难以关闭僵尸网络的命令和控制服务器或安全产品来阻止其C&C流量
“PushDo是Damballa在过去18个月中观察到的第三个主要恶意软件家族,转而采用DGA技术作为与C&C进行通信的一种手段,“Damballa的研究人员说。 “ZeuS恶意软件系列和TDL / TDSS恶意软件的各种变种在其逃避方法中也使用DGA。”Damballa,Dell SecureWorks和佐治亚理工学院的研究人员共同调查恶意软件的新变种并测量其影响。他们的发现发表在周三发布的联合报告中
除了使用DGA技术之外,最新的Pushdo变体还定期查询200多个合法网站,以便将C&C流量与正常流量混合在一起研究人员表示,在调查过程中,Pushdo的DGA生成了42个域名,并对他们提出的请求进行了监控,以便对僵尸网络的大小进行估计。
“在近两个月的时间里,我们观察到1,038,915个独特的IPs将C&C二进制数据发布到我们的陷阱,“研究人员在他们的报告中说。根据收集的数据,每日计数在30,000到40,000个独特的IP(互联网协议)地址,他们说。
感染计数最高的国家是印度,伊朗和墨西哥。通常位列其他僵尸网络感染名单之首的中国,甚至没有进入前十名,而美国仅排在第六位。
Pushdo恶意软件通常通过驱动式下载攻击来分发 - Web - 基于浏览器插件漏洞的攻击 - 或者由其他僵尸网络安装,作为网络犯罪分子使用的按安装付费计划的一部分,研究人员说。