Botnet maskuje swoje serwery dowodzenia fałszywymi połączeniami SSL

Botnet Pushdo kazał kontrolowanym przez siebie komputerom wysyłać pingi SSL do popularnych stron internetowych. Zabieg ten ma na celu ukrycie centralnego serwera sterującego maszynami zombie.

Ofiarą fałszywych pingów padły między innymi FBI, CIA, PayPal, Yahoo! i Twitter. Nie doszło do żadnych awarii, serwisy działały jak zazwyczaj. Administratorzy zauważyli jednak dziwne połączenia, które na pierwszy rzut oka nie miały sensu.

„Wyglądało to tak, jakby ktoś próbował nawiązać kontakt za pośrednictwem protokołu SSL. Problem polegał na tym, że po «uścisku dłoni» żadne dalsze dane nie były wysyłane” – powiedział Joe Stewart, szef badań nad złośliwym oprogramowaniem w firmie SecureWorks.

SSL to warstwa bezpieczeństwa wykorzystywana do szyfrowania danych przekazywanych między komputerami. Jest najczęściej spotykana w sklepach internetowych czy bankowości elektronicznej. Pushdo stosuje fałszywy nagłówek SSL w komunikacji między komputerami zombie a własnym serwerem sterującym.

Celem jest jeszcze lepsze ukrycie lokalizacji centralnej maszyny. Na razie Pushdo zajmuje się głównie wysyłaniem niechcianych wiadomości e-mailowych. Łącznie kontroluje przynajmniej 300 tysięcy pecetów, zainfekowanych poprzez wprowadzone do systemu Windows konie trojańskie. Twórcy botneta pochodzą najpewniej z Europy Wschodniej.

Niektórzy użytkownicy serwisu Slashdot zasugerowali, że twórcy botnetu wysyłając pakiety SSL przygotowują się do dużego ataku typu Denial of Service albo szukają luk w popularnych witrynach.

Źródło: Slashdot.org

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

skomentuj »

Polecamy

Reklama

Komentarze

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.