PushDo e Tentativas de Burlar sua Detecção
O malware Pushdo adotou a criptografia RSA, com a intenção de dificultar o trabalho dos analistas e investigadores, na identificação do tráfego relacionado ao C & C, acrescentando Domain Generation Algorithms (DGAs) para nomes de domínio de forma dinâmica, em tempo real, além de mudar a forma de se comunicar (isso envolve comunicação do bot com o servidor C & C). Além disso, está incluído um falso gerador de tráfego para atuar como um chamariz.
Lista Dinâmica de Nomes de Domínio
A quadrilha responsável pelo Pushdo "passou muito tempo tornando a botnet resistente e dificultando a detecção do servidor de comando e controle", disse Stone-Gross. O DGA como um mecanismo de fallback para a botnet (no caso o servidor principal C & C), está inacessível ou interrompido. O algoritmo permite que o malware possa gerar, dinamicamente, uma lista de nomes de domínio que poderiam ser possíveis para os servidores C & C. O DGA tem uma seqüência de letras e a data atual para calcular uma seqüência específica; a partir daí, o malware envia uma solicitação da Web para descobrir se um domínio existe com essa seqüência. Se isso acontecer, o bot envia uma solicitação para esse domínio e aguarda novas instruções. Lembrando que a DGA pode gerar 1.380 nomes de domínio exclusivo de um único dia.
Uma vez que o malware não possui uma lista de nomes de domínio como parte de seus arquivos de configuração, torna-se mais difícil de bloquear domínios maliciosos conhecidos. Dessa forma, várias organizações governamentais, prestadores de serviços do governo, e as redes militares foram comprometidos, de acordo com as declarações feitas pelos profissionais da Damballa. Além disso, os investigadores identificaram mais de 13 versões diferentes de DGA em uso. Esta é a primeira vez que pesquisadores viram essas pragas usadas dessa maneira com um botnet; algumas famílias de malware como ZeuS e TDL / TDSS usaram DGAs no passado.
Geração de Tráfego Falso para Esconder Rastros
O novo Pushdo também incluiu a capacidade de gerar tráfego falso para 200 sites legítimos, a fim de esconder o seu tráfego C & C tráfego, disse Stone-Gross. Além do mais, esta não é a primeira vez que Pushdo utiliza o tráfego falso para esconder seus rastros, exatamente como uma variante sua fez no ano de 2010. Nessa sequência de atividades maliciosas, os pesquisadores estimaram que o novo botnet Pushdo tem entre 175 mil a 500 mil endereços IPs únicos, e que com os números de IPs oscilando em torno de 200 mil, em média.
Em um certo ponto, os pesquisadores observaram 600 mil endereços IP. Para se ter uma idéia da dimensão disso tudo, Pushdo é aproximadamente o mesmo que o Cutwail, o enorme botnet de spam que impulsionou as atividades do GameOver e do ZeuS, dentre outros conteúdos maliciosos. Cutwail é o principal distribuidor do Pushdo, e os pesquisadores dizem que quase todos os infectados com eles, estariam sim, infectados pelo Cutwail. Ao longo de um período de dois meses, 1,1 milhões de IPs únicos foram observados, e 35.000 IPs únicos conectaram-se ao servidor C & C todos os dias, de acordo com as descrições feitas pelos pesquisadores.
Mudança na Comunicação com o Servidor C & C
A nova versão do Pushdo também mudou o modo como a máquina infectada se comunicava com o servidor C & C. Ao invés de receber conteúdo criptografado como parte do tráfego HTTP normal, que é um pouco óbvio e fácil de detectar, o novo Pushdo responde às solicitações com uma página HTML a partir de um site legítimo. O conteúdo completo do site de HTML, envolvendo textos e imagens, são devolvidos ao computador infectado, juntamente com um arquivo .JPG adicional. Só que não é um arquivo de imagem real, mas sim, o conteúdo criptografado que aparece como um .JPG.
Vale ressaltar, que a equipe por trás do Pushdo está colocando claramente novos recursos que lhes permitam sobreviver a futuras quedas de C & C. Com as novas DGAS, a botnet ainda pode se comunicar com computadores individuais, mesmo quando o servidor C & C estiver fora de atividade; depois, um novo servidor C & C está em vigor, e a botnet pode se reconectar com os bots e redirecioná-los para o novo servidor.
Os criminosos estão fazendo uma tonelada de dinheiro com esses botnets e, quando a aplicação da lei interrompe suas operações com um desligamento de um C & C, eles vêem as suas chances de lucratividade desmoronarem. Mesmo com os novos recursos, existem maneiras de detectar tráfego Pushdo no nível de rede, procurando por algumas assinaturas. Também é possível descobrir quais domínios serão gerados naquele dia e, preventivamente, a sua inserção em uma blacklist. Os cinco principais países infectados com a nova variante Pushdo são a Índia, o Irã, México, Tailândia, Indonésia e os Estados Unidos.
Saiba Mais:
[1] Security Week http://www.securityweek.com/pushdo-m...medium=twitter