Das PUSHDO-Puzzle — DDoS oder nicht DDoS

Originalartikel von David Sancho (Malware Researcher bei Trend Micro)

Das PUSHDO-Botnet war kürzlich wieder in den Schlagzeilen als Übeltäter in einem Distributed Denial-of-Service (DDoS)-Angriff auf eine Reihe bekannter Websites. Einige Publikationen haben den neuen Angriff auch ausführlich dokumentiert. Da wir im letzten Jahr einige Monate damit verbrachten, das PUSHDO/CUTWAIL-Botnet zu untersuchen und zu überwachen und aufgrund der Prüfung der neuesten Samples können wir mit Sicherheit sagen, dass dieser bestimmte Angriff nicht auf PUSHDO zurück zu führen ist.

In erster Linie sind PUSHDO-Varianten üblicherweise Downloader, die häufig an einen Command-and-Control (C&C)-Server berichten. Die DDoS-Malware in der Attacke jedoch ist ein Spambot. Zwar nutzt PUSHDO-Botnets ein Spambot (von der Sicherheitsindustrie als CUTWAIL bezeichnet), um User mit Spam zu überfluten, doch bei dem Vergleich unseres CUTWAIL-Samples mit dem DDoS-Spambot in besagtem Angriff, haben wir keine schlüssigen Beweise gefunden, dass die beiden miteinander in Verbindung stehen.

Sicherheitsexperten erkennen diese neue Spambot-Variante als „Harebot“ oder „Shgray“. Einige der Anbieter haben sie auch als „Pandex“ identifiziert, ein anderer Name für PUSHDO-Varianten. Dies scheint der Grund dafür zu sein, dass der neue Angriff für PUSHDO-bezogen angesehen wird.

Manche mögen dies für ein nicht sehr relevantes Argument halten, doch ist es dennoch wichtig. Auch wenn es sich beim neuen Spambot tatsächlich um eine weiterentwickelte Version der CUTWAIL-Varianten (was noch nicht bewiesen ist) handelt, heißt das dennoch nicht, dass die PUSHDO-Botnet-Besitzer hinter diesem massiven DDoS-Angriff stecken. Diese beiden Gruppen könnten sich als eine einzige oder auch als zwei völlig unterschiedliche Organisation entpuppen. Unabhängig davon liegt der Grund dafür, ein DDoS-fähiges Spambot zu erzeugen, noch immer völlig im Dunkeln – auch für Sicherheitsforscher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*