ダンバラのセキュリティ研究者は、悪意のあるネットワーク トラフィックをより巧妙に隠蔽し、組織的な削除活動に対してより耐性のある Pushdo マルウェアの新しい亜種を発見しました。
Pushdoトロイの木馬プログラムは2007年初頭に遡り、ZeusやSpyEyeといった他のマルウェア脅威の拡散に利用されています。また、Cutwailと呼ばれる独自のスパムエンジンモジュールを搭載しており、世界中の日々のスパムトラフィックの大部分を直接処理しています。
セキュリティ業界は過去 5 年間に 4 回にわたり Pushdo/Cutwail ボットネットのシャットダウンを試みましたが、その努力は一時的な混乱をもたらしただけでした。
3月に、ダンバラのセキュリティ研究者は新たな悪意のあるトラフィックパターンを特定し、それをPushdoマルウェアの新しい亜種まで遡って追跡することができました。
「PushDoの最新亜種は、通常のコマンドアンドコントロール(C&C)通信方法のフォールバックメカニズムとして、ドメイン生成アルゴリズム(DGA)によるドメインフラックスを使用することで、新たな側面を追加しています」とダンバラの研究者は水曜日のブログ投稿で述べた。
このマルウェアは、毎日1,000以上の存在しない一意のドメイン名を生成し、ハードコードされたC&Cサーバーに接続できない場合にそれらのドメイン名に接続します。攻撃者はこのアルゴリズムの仕組みを知っているため、これらのドメインの1つを事前に登録しておき、ボットが接続するのを待ち、新たな指示を送信することができます。
この手法は、セキュリティ研究者がボットネットのコマンドアンドコントロールサーバーをシャットダウンしたり、セキュリティ製品が C&C トラフィックをブロックしたりすることを困難にすることを目的としています。
「PushDoは、ダンバラが過去18ヶ月間にC&Cサーバとの通信手段としてDGA技術を採用した3番目の主要なマルウェアファミリーです」とダンバラの研究者らは述べています。「ZeuSマルウェアファミリーやTDL/TDSSマルウェアの亜種も、回避策としてDGAを使用しています。」
ダンバラ、デル・セキュアワークス、ジョージア工科大学の研究者らは協力して、マルウェアの新たな亜種を調査し、その影響を測定しました。その調査結果は水曜日に発表された共同報告書に掲載されました。
研究者らによると、最新のPushdo亜種は、DGA技術の使用に加えて、C&Cトラフィックを正常に見えるトラフィックに混ぜるために、200以上の正当なウェブサイトを定期的に照会しているという。
調査中、Pushdo の DGA によって生成された 42 のドメイン名が登録され、ボットネットの規模を推定するために、それらに対するリクエストが監視されました。
「約2ヶ月にわたり、1,038,915のユニークIPアドレスがC&Cバイナリデータを私たちのシンクホールに投稿しているのを確認しました」と研究者らは報告書で述べています。1日あたりのユニークIPアドレスの数は3万~4万件だったとのことです。
収集されたデータによると、感染件数が最も多い国はインド、イラン、メキシコです。ボットネット感染件数では通常上位にランクされる中国はトップ10にも入っておらず、米国は6位にとどまっています。
研究者らによると、Pushdoマルウェアは通常、ドライブバイダウンロード攻撃(ブラウザプラグインの脆弱性を悪用するWebベースの攻撃)を通じて配布されるか、サイバー犯罪者が使用するペイパーインストール方式の一環として他のボットネットによってインストールされるという。
