Vzrůstá používání komunikace P2P k šíření malwaru

Množství malwaru, který používá komunikaci typu peer-to-peer, se za poslední rok zpětinásobilo. Zjistili to výzkumníci ze společnosti Damballa.

Vzrůstá používání komunikace P2P k šíření malwaru


Největší podíl na tomto vzrůstu mají pokročilé hrozby jako ZeroAcces, Zeus 3 a TDL4, řekl Stephen Newman, produktový viceprezident společnosti Damballa. Dodal, že i další skupiny malwaru poslední dobou začínají P2P využívat pro své řídící uzly. „Využívání P2P v pokročilých malwarových hrozbách už se děje delší dobu, ale nikdy jsme nepozorovali, že by mělo takový význam, jaký zaznamenáváme v současnosti.“

Podle Newmana může být důvodem touha kyberzločinců po větší odolnosti proti pokusům o jejich vyřazení, které mohou narušit centralizované struktury botnetů. V případě vypnutí řídících serverů ztratí správci botnetu přístup k tisícům nebo dokonce milionům infikovaných počítačů. Komunikace přes P2P je decentralizovaná a klienti botnetu si mohou posílat příkazy vzájemně. Další výhodou pro útočníky je, že přenos P2P je na síťové úrovni hůře dohledatelný a blokovatelný za použití tradičního přístupu, který se spoléhá na seznam známých adres IP a hostitelů, spojených s řídícími servery.

Nejrozšířenější skupinou malwaru, která používá komunikaci P2P, je podle Johna Jerrima, vědeckého pracovníka v Damballe, pravděpodobně TDL4. Ten však používá P2P pouze jako zálohu v momentech, kdy nemůže kontaktovat primární server DGA (domain generation algorithm). Malware TDL4 je známý velkou odolností. Pokud se do počítače dostane, je velmi těžké ho odstranit, protože infikuje zaváděcí záznam, speciální část pevného disku, která obsahuje kód spouštějící se před startem operačního systému. Tento nástroj se používá především k distribuci dalšího malwaru.

Virus známý jako GameOver nebo Zeus verze 3 je trojský kůň, který krade bankovní údaje a další data spojená s financemi. Na rozdíl od TDL4 používá Zeus v3 P2P jako primární řídící uzel a DGA pouze jako zálohu.

Nejzajímavější hrozbou je ZeroAcces, který pro řízení používá pouze P2P. Malware je šířen s pomocí webových nástrojů, například Blackhole, Neosploit nebo Sweet Orange a je používán především k podvodům při těžení Bitcoinů.

Společnost Damballa vydala zprávu (v PDF) o používání komunikace P2P v úterý.

Úvodní foto: © Gunnar Assmy - Fotolia.com










Komentáře