spamming botnet Cutwail, juga dikenal sebagai Pushdo, telah ada selama beberapa waktu. Botnet telah diturunkan beberapa kali di masa lalu, tapi terus datang kembali dengan trik baru.
Menurut Trend Micro peneliti, pencipta botnet ini telah menerapkan beberapa teknik untuk memastikan perintah penciptaan mereka dan kontrol (C & C) komunikasi Menyingkiri solusi keamanan.
Pertama-tama, untuk membuat lalu lintas berbahaya mencolok, varian Cutwail mengirimkan banyak permintaan HTTP. Namun, hanya beberapa dari permintaan tersebut dibuat dengan C & C server sebenarnya, sisanya sedang dirancang untuk bertindak sebagai selingan.
Sampel malware dianalisis oleh Trend Micro memegang dienkripsi daftar 200 domain, termasuk yang perusahaan besar dan lembaga pendidikan, tetapi juga beberapa website teduh. Setiap kali, malware memilih hanya 20 dari domain tersebut secara acak.
Meskipun ini bukan tujuan dari malware, permintaan dikirim ke situs ini memakan banyak bandwidth, secara implisit meluncurkan didistribusikan penolakan-of-service (DDOS) serangan terhadap mereka.
Teknik C & C komunikasi ini juga melindungi malware terhadap sistem sandbox otomatis.
"Sebelum menambahkan server ke C & C blacklist, sistem perlu untuk memeriksa daftar putih pertama. Jika whitelist tidak cukup baik, mungkin ada beberapa positif palsu dan sengaja membuat situs web yang sah tidak dapat diakses pengguna, "kata Trend Micro Ancaman Peneliti Spencer Hsieh dalam posting blog.
Fitur lain yang menarik terintegrasi ke Cutwail adalah algoritma generasi domain (DGA), yang membuat botnet lebih sulit untuk mengganggu.
"Pushdo khususnya menggunakan tanggal kalender sebagai benih yang DGA dan menghasilkan 30 domain untuk setiap hari. Akan mencoba untuk menyambung ke tidak hanya domain untuk hari tertentu, tetapi juga semua domain yang dihasilkan dari hari antara 30 hari sebelumnya dan 15 hari kemudian. Dengan kata lain, ia akan mencoba untuk menyambung ke 1380 domain setiap hari, "tulis Hsieh.
Pertama-tama, untuk membuat lalu lintas berbahaya mencolok, varian Cutwail mengirimkan banyak permintaan HTTP. Namun, hanya beberapa dari permintaan tersebut dibuat dengan C & C server sebenarnya, sisanya sedang dirancang untuk bertindak sebagai selingan.
Sampel malware dianalisis oleh Trend Micro memegang dienkripsi daftar 200 domain, termasuk yang perusahaan besar dan lembaga pendidikan, tetapi juga beberapa website teduh. Setiap kali, malware memilih hanya 20 dari domain tersebut secara acak.
Meskipun ini bukan tujuan dari malware, permintaan dikirim ke situs ini memakan banyak bandwidth, secara implisit meluncurkan didistribusikan penolakan-of-service (DDOS) serangan terhadap mereka.
Teknik C & C komunikasi ini juga melindungi malware terhadap sistem sandbox otomatis.
"Sebelum menambahkan server ke C & C blacklist, sistem perlu untuk memeriksa daftar putih pertama. Jika whitelist tidak cukup baik, mungkin ada beberapa positif palsu dan sengaja membuat situs web yang sah tidak dapat diakses pengguna, "kata Trend Micro Ancaman Peneliti Spencer Hsieh dalam posting blog.
Fitur lain yang menarik terintegrasi ke Cutwail adalah algoritma generasi domain (DGA), yang membuat botnet lebih sulit untuk mengganggu.
"Pushdo khususnya menggunakan tanggal kalender sebagai benih yang DGA dan menghasilkan 30 domain untuk setiap hari. Akan mencoba untuk menyambung ke tidak hanya domain untuk hari tertentu, tetapi juga semua domain yang dihasilkan dari hari antara 30 hari sebelumnya dan 15 hari kemudian. Dengan kata lain, ia akan mencoba untuk menyambung ke 1380 domain setiap hari, "tulis Hsieh.
"Fitur ini DGA dapat menantang bagi perilaku dan sandboxing analisis. Menggunakan analisis sandboxing tanpa reverse engineering malware dan mencari DGA yang mungkin tidak cukup untuk memblokir C & C komunikasi, sebagai malware menghasilkan domain yang berbeda untuk setiap hari. "
0komentar:
Post a Comment