compiling.ru

Ботнет наводняет крупные веб-сайты фальшивыми SSL-подключениями

Скачок DDoS -трафика в отношении ЦРУ, Chase, Google Chrome, ФБР и других озадачил ученых планами ботнета Pushdo

Спам-ботнет, известный за поддержание низкого профиля, поразил сотни веб-сайтов – в том числе ЦРУ, Chase, Mozilla Labs, Twitter, SAN, Google Chrome и ФБР, – в течение последних недель чрезвычайно выдающимся объемом фальшивого трафика, что побудило исследователей к анализу его следующего шага.

Ботнет Pushdo, также известный, как «Cutwail» и «Pandex», наводнял эти сайты фиктивными SSL-соединениями, едва не сделавшими запрос по сайту. По словам Shadowserver Foundation, инфицированные боты начинают инициацию SSL-подключения с некоторым «засоряющим» трафиком, а затем отключаются. Shadowserver и другие исследователи ведут мониторинг деятельности, которая увеличила трафик на несколько миллионов посещений среди сотен тысяч IP адресов, по данным Shadowserver.

Например, ботнет атаковал сайт Hit ZeusTracker сотнями тысяч различных IP адресов в течение 24-часового периода. «Это очень большое количество ботов, генерирующих много трафика», – написал в блоге Стивен Адэр, исследователь Shadowserver. Последнее изменение кода Pushdo привело к появлению ботов, генерирующих «засоряющие» SSL-соединения на 315 веб-сайтов.

Так чем же занимается Pushdo? Джо Стюарт, директор SecureWorks по исследованиям вредоносного ПО, считает, что ботнет создает попытки фальшивого SSL-соединения: деформированные пакеты звынуждают сервер вернуть ошибку SSL-согласования. «Добавляя первоначальный заголовок SSL-диалога, они могут пытаться избежать более тщательной проверки при помощи менее бдительных контрольных устройств», – говорит Стюарт. «И отправка целого шквала таких соединений на ряд законных сайтов, служащих «приманками», помогает Pushdo C & C [команда и контроль] трафику сливаться и оставаться незамеченным в некоторых случаях», – говорит он.

http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml?articleID=222600679