Lucian Constantin
O número de amostras de códigos maliciosos P2P cresceu durante o ano passado, afirmam os pesquisadores da Damballa
O número de amostras de malware que usam comunicações P2P (peer-to-peer) aumentou cinco vezes nos últimos 12 meses, de acordo com pesquisadores da empresa de segurança Damballa.
Os maiores contribuintes para este aumento são as ameaças avançadas como ZeroAccess, Zeus versão 3 e TDL4, afirmou o vice-presidente de produtos de Damballa, Stephen Newman. No entanto, há também outras famílias de malware que adotaram o P2P como de canal de comando e controle (C&C) recentemente, disse.
"O uso do P2P em ameaças de malware avançadas tem estado por perto durante algum tempo, mas nunca vi tomar a proporção que começamos a ver agora", afirmou Newman.
A razão pela qual isso está acontecendo tem a ver com o desejo dos cibercriminosos de recuperação em face aos esforços de derrubada de rede, que podem atingir as infraestruturas C&C centralizadas, disse ele.
Os controladores da botnet perdem o acesso a milhares ou milhões de computadores infectados caso seus servidores sejam encerrados. Por conta disso, eles estão procurando formas de descentralizadar as comunicações P2P, onde os clientes botnet podem transmitir comandos de para o outro, como uma técnica de resiliência, juntamente com outros métodos, como o uso de algoritmos de geração de nome de domínio (DGAS), disse.
Outro benefício para os crackers é que o tráfego P2P malicioso é difícil de ser detectado e bloqueado no nível de rede, utilizando as abordagens tradicionais que dependem de listas de endereços IP e hosts conhecidos associados aos servidores C&C.
Ameaças Persistentes
O TDL4 é provavelmente a família de malware mais comum que utiliza comunicações P2P, disse o cientista sênior de pesquisa da Damballa, John Jerrim. No entanto, o canal de comunicação P2P do TDL4 é usado apenas como backup, no caso de algum servidor C&C ser alcançado por meio de um algoritmo de geração de domínio, disse.
Esse malware é melhor conhecido por ser altamente persistente e difícil de ser removido dos computadores, porque ele infecta o MBR (Master Boot Record) da máquina - uma seção especial do disco rígido que contém o código executado durante o processo de inicialização, antes que o sistema operacional inicie.
A ameaça é usada principalmente para distribuir outros tipos de malware, como parte de esquemas pay-per-install e programas afiliados a cibercriminosos.
O Zeus versão 3, que também é conhecido como GameOver, é um Cavalo de Troia que rouba dados bancários online e outras informações financeiras. Ao contrário do TDL4, o Zeus v3 usa P2P como principal canal de comando e controle e usa o algoritmo de geração de domínio quando o malware não pode chegar a qualquer peer da rede P2P.
Já o ZeroAccess é uma ameaça particularmente interessante porque ele só usa a comunicação P2P para efeitos de comando e controle. O malware é distribuído com a ajuda de kits de exploração como Blackhole, Neosploit e Sweet Orange, e é usado principalmente para fraude de cliques e mineração de Bitcoin.
A Damballa divulgou um relatório sobre o uso de comunicações Peer-to-Peer no ZeroAccess, Zeus v3 e TDL4 na terça-feira (4). A empresa também adicionou a capacidade de detectar este tipo de tráfego malicioso em seu dispositivo de segurança de rede à prova de falhas para empresas.
Os pesquisadores do Instituto para a Segurança da Internet, na Alemanha; da VU University, em Amsterdã e dos fornecedores de segurança da Dell SecureWorks e da Crowdstrike recentemente publicaram um estudo sobre a recuperação de botnets P2P.
"Nossa avaliação mostrou as fraquezas que poderiam ser usadas para interromper as botnets Kelihos e ZeroAccess", diz o relatório. "No entanto, também mostramos que as redes Zeus e Sality são altamente resistentes a ataques sinkholing, a classe de ataques mais usados atualmente contra botnets P2P."
Os pesquisadores concluíram que encontrar métodos alternativos de mitigação contra botnets P2P é "urgente".
FONTE: "Malware cada vez mais atinge comunicações P2P, dizem pesquisadores - IDG Now!." IDG Now! - NotÃcias de tecnologia, internet, segurança, mercado, telecom e carreira. N.p., n.d. Web. 6 June 2013. .
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário