Botnet verstopt zich tussen Paypal en CIA

Valse SSL-verbindingen moeten echt netwerkverkeer verbergen

Het Pushdo-botnet probeert zijn commandoserver op ingenieuze wijze te verstoppen. Het netwerk stuurt valse connectieaanvragen naar verschillende sites zoals Paypal en de CIA, om zo zelf niet op te vallen in het netwerkverkeer.

Het gaat om valse SSL-verbindingen die naar de servers van de sites worden gestuurd. Volgens een lijst van Shadowserver.org krijgen ook de FBI, Yahoo en Twitter vreemd netwerkverkeer binnen door het botnet. Al is dit niet omvangrijk genoeg om storingen of vertragingen te veroorzaken.

Onlogische verbindingen
Volgens Joe Stewart, hoofd malware-onderzoek bij beveiligingsbedrijf SecureWorks, krijgen sitebeheerders vooral vreemde en onlogische verbindingen te zien. “Het lijkt alsof ze een SSL-handshake proberen, maar het komt misvormd binnen en gaat na die eerste handshake-poging niets verzenden.”

SSL staat voor secure sockets layer en is een protocol om communicatie tussen computers te encrypteren. Een handshake is nog het best te omschrijven als een digitale ‘kennismaking’ om daarna data uit te wisselen.

Pushdo gaat op zijn beurt vals SSL-verkeer van de geïnfecteerde pc’s naar zijn commandoserver sturen, zodat het bij een routinecontrole lijkt alsof het om legitiem SSL-verkeer gaat. Door een hoop verbindingen met andere legitieme sites te maken, lijkt het bovendien alsof de commandoserver niet opvalt.

Volgens Stewart beheert Pushdo zo’n driehonderdduizend computers wereldwijd en zit de beheerder van het botnet ergens in Oost-Europa. Doorgaans downloadt het netwerk trojans om vervolgens spam te versturen.

bron: CNet