Malware-ul foloseste tot mai mult protocolul P2P

Conform celui mai recent raport Damballa emis joia trecuta, malware-ul a inceput sa foloseasca tot mai mult protocolul peer-to-peer (P2P) atunci cand primeste instructiuni de la serverele de comanda si control (C&C) si cand transfera date furate, pentru a evita detectarea.

In ultimele 12 luni, Damballa observat ca numarul de softuri malware care folosesc P2P pentru a comunica cu infrastructura C&C a crescut de cinci ori. Mai multe dintre cele mai recente variante de malware, inclusiv ZeroAccess, TDL V4 si Zeus v3 au deja capabilitati P2P pentru a evita detectarea de catre solutiile de securitate existente, se arata in raport.

Chiar daca s-ar incerca renuntarea definitiva la protocolul P2P, există aplicatii legitime care utilizeaza P2P, cum ar fi Skype si Spotify. P2P nu mai inseamna doar file-sharing ilegal. Acceptarea la scara larga a aplicatiilor P2P a dus la o crestere a numarului de malware-uri care folosesc protocolul P2P. Utilizand P2P pentru a contacta serverele C&C, atacatorii au asftel garantia ca traficul lor malware nu starneste suspiciuni, deoarece poate trece nestingherit de masurile de securitate traditionale ale unei retele.

Similar cu modul in care creatorii de malware au inventat noi tehnici pentru a evita depistarea de catre antivirusi si alte scannere de securitate, criminalii cibernetici adopta noi tehnici pentru a ascunde traficul care circula intre calculatorul infectat si serverele C&C. Prin utilizarea unui model descentralizat, unde un “peer” infectat actionează ca server si gazda pentru un altul, atacatorii au acum o “structura de comunicare indestructibila, care nu poate fi descoperita cu usurinta,” scrie in raportul Damballa.

Pe langa raportul sau, Damballa a anuntat ca a implementat un P2P Profiler platformei Damballa Failsafe, pentru a descoperi si analiza conexiunile P2P. Damballa Failsafe analizeaza fluxul traficului de iesire si utilizeaza niste algoritmi speciali pentru a detecta traficul P2P benign sau malitios. De asemenea, Failsafe poate indica si care endpoint este sursa traficului P2P malware.



Leave a Reply