2013年5月17日 星期五

Pushdo變種殭屍網路大進化 伴隨更具彈性攻擊捲土重來


Pushdo變種殭屍網路大進化 伴隨更具彈性攻擊捲土重來

進階威脅防護方案商Damballa Labs的安全研究人員,發現Pushdo惡意程式的全新變種,該變種變得更擅長隱藏自己的惡意網路封包,同時協調攻擊作業的能力也變得更具彈性。

Pushdo木馬程式的出現可回溯到2007年初,多半被用來散播諸如Zeus與SpyEye等其他惡意程式威脅。

Pushdo也伴隨擁有自己專屬的垃圾郵件引擎模組「Cutwail」,該引擎直接導致了極大部分全球每日垃圾郵件封包的產生。

Pushdo

過去五年來,安全界已不下五次地嘗試終結Pushdo/Cutwail殭屍網路,但這些努力只對其造成暫時性的癱瘓而已。

三月間,Damballa Labs安全研究人員辨識出全新惡意封包模型,同時透過該模型回溯追蹤發現了全新Pushdo惡意程式變種。

「Pushdo最新變種透過運用網域產生演算法(Domain Generation Algorithms, DGAs)之網域變動(domain fluxing)手法,得以為自己增加靈活進退的全新維度,以做為其正常指揮與控制通訊方式的預留後路備用機制,」Damballa安全研究人員於週三的部落格貼文指出。

該惡意程式可以每年產生超過1,000個以上實際不存在的唯一網域名稱,如果惡意程式連不到自身寫死的C&C主控伺服器,便會連接到這些網域上。打從攻擊者明白運算法的運作原理後,他們便可預先註冊其中之一的網域,並等待殭屍連線進來,以分派新的指令。

透過該技術,可以增加安全研究人員關閉殭屍網路C&C伺服器,抑或安全產品封鎖C&C主控封包的難度。

圖片/資料來源:PCWorld
轉載自《網路資訊》

沒有留言:

張貼留言