Начиная с 2008 года, правоохранительные органы и поставщики софта четырежды отлучали от Сети плодовитую вредоносную программу Pushdo и ботнет, составленный из спамботов Cutwail. Тем не менее, подобно кролику из рекламы Energizer, этот зловред все время возвращается, обрастая новыми возможностями.

В начале марта эксперты Damballa обнаружили новую версию Pushdo, использующую алгоритм генерации доменов (Domain Generation Algorithm, DGA). Наличие последнего затрудняет идентификацию C&C ботнета, помогая повысить его жизнестойкость.

На протяжении всей своей истории Cutwail являлся одним из крупнейших ботнетов, распространяющих спам, в том числе вредоносный. Его численность измерялась миллионами зараженных машин, генерирующих миллиарды нелегитимных сообщений. Одноименный спамбот загружается на зараженную машину с помощью троянца-дроппера Pushdo.

По оценкам Damballa, популяция обновленного Pushdo обеспечивает от 175 тыс. до 500 тыс. активных ботов в сутки. Предыдущие его версии обладали функцией сбора данных о зараженной системе, что позволяло им определять, какой антивирус и брандмауэр установлены у жертвы. Новейшая итерация Pushdo, помимо использования DGA, умеет также обращаться к легальным ресурсам, таким как веб-сайты образовательных учреждений и интернет-провайдеров. Это нововведение позволяет ботоводам скрыть внутренний трафик бот-сети в обычном потоке и затрудняет анализ зловреда, помещенного в песочницу.

Добавление DGA-алгоритма в функционал Pushdo, включающий также загрузку других вредоносных программ, призвано расширить арсенал его средств самозащиты. В коде Pushdo прописаны два C&C домена, однако в отсутствие отклика с этих адресов троянец отныне сможет использовать DGA.

«Что касается техники написания кода [DGA], существует много примеров тому, что его может создать любой хакер со средними способностями, – отметил Бретт Стоун-Гросс (Brett Stone-Gross), старший security-исследователь подразделения Dell SecureWorks, специализирующегося на противодействии интернет-угрозам. – Создать необходимую инфраструктуру, учредить и зарегистрировать новые домены – задача куда более трудная. Она требует от хакера больших организационных усилий, чем в прежние времена, и свидетельствует об усложнении жизни ботоводов, вынужденных составлять бизнес-планы и неукоснительно их выполнять».

Экспертам Dell SecureWorks, Технического университета Джорджии и Damballa удалось установить контроль над несколькими C&C доменами, сгенерированными Pushdo с помощью DGA. Исследователи зарегистрировали более 1,1 млн. уникальных IP‑адресов, которые пытались установить соединение с sinkhole-сервером, подавая в среднем 35-45 тыс. запросов в сутки.

Большинство современных зловредов для связи с центром управления используют доменные имена, жестко прописанные в их бинарном коде. Этот способ обречен на провал, если специалисты по сетевой безопасности подвергнут бинарник анализу и заблокируют или подменят командный сервер. Во избежание такой ситуации вирусописатели начали обновлять C&C информацию на ботнете, регулярно рассылая в динамическом режиме обновленные конфигурационные файлы, однако эта защитная мера тоже оказалась уязвимой к перехвату.

Новейшим средством борьбы с перехватом контроля над ботнетом являются DGA-алгоритмы. Они с заданной частотой воспроизводят списки новых доменных имен, тестируют их и отслеживают наличие C&C отклика. Присутствие такого механизма самозащиты в ботнете затрудняет работу статических репутационных фильтров, оперирующих черными списками C&C доменов, и помогает ботоводам обходить средства сигнатурного анализа и песочницы. Использование DGA также позволяет сократить командную инфраструктуру ботнета и снизить риск ее обнаружения. Генератор доменов с успехом использовали ботоводы Kraken, Srizbi, Sinowal, Waledac, Kido, р2р-модификации ZeuS и Virut.

По данным исследователей, новая версия Pushdo способна генерировать одноразовые доменные имена размером от 9 до 12 знаков, с производительностью 1,38 тыс. в сутки. Вначале все эти домены были привязаны к TLD-зоне .com, однако, как сообщила Seculert, ботоводы заметили слежку и изменили DGA, привязав создаваемые имена к новой зоне – .kz.

«[Генератор доменов Pushdo] по эффективности схож с [DGA] ZeuS, – отметил Джереми Димар (Jeremy Demar), старший вирусный аналитик Damballa. – Основным методом коммуникации ZeuS являются одноранговые отношения. Если зловред работает в корпоративной среде, предусматривающей блокировку р2р, он обращается к запасному варианту – DGA. По объему возможностей и эффективности этот алгоритм почти такой же [как у Pushdo]».

Среди 1,1 млн. IP, запрашивающих сгенерированные Pushdo домены, обнаружились адреса, закрепленные за правительством США, его подрядчиками и военными ведомствами. «Они занимают относительно мало позиций в этом интересном списке, если говорить о численности, но из-за уровня конфиденциальности таких организаций мы решили огласить этот факт», – сказал Стоун-Гросс. Он также отметил, что кампания по нейтрализации ботнета, подобная предыдущим попыткам в отношении Pushdo, предполагает тесное взаимодействие правовых организаций и технических исполнителей. Обе security-компании надеются, что осознание необходимости такого сотрудничества ускорит прогресс в области защиты конечных пользователей.

Категории: Вредоносные программы, Спам