Suchen

Spam-Botnetz umfunktioniert Cutwail Botnet bombardiert SSL-Webseiten - DDoS-Angriff oder Testlauf?

| Redakteur: Stephan Augsten

Das als Cutwail und Pushdo bekannte Botnetz verbindet sich derzeit über den SSL-Port 443 zu zahlreichen bekannten Webseiten und -diensten. Zu den Zielen gehören unter anderem Twitter, ICQ und Paypal, aber auch die Webseiten von Microsoft, Symantec und der CIA. Sicherheitsforscher rätseln noch immer über den Sinn dieser Aktion.

Firma zum Thema

Cutwail-Bots machen derzeit mit Anfragen an SSL-fähige Webseiten auf sich aufmerksam.
Cutwail-Bots machen derzeit mit Anfragen an SSL-fähige Webseiten auf sich aufmerksam.
( Archiv: Vogel Business Media )

Cutwail alias Pushdo infiziert Client-Rechner in Form eines Trojaners, zeigt dann aber die typischen Verhaltensweise eines Wurms. So enthält die Malware eine Download-Routine, um sich selbst zu aktualisieren und neue Schadcode-Segmente nachzuladen. Gleichzeitig wird der infizierte PC in ein Botnetz eingegliedert und erhält seine Instruktionen über Command-and-Control-Server.

Cutwail ist eigentlich als Spam-Botnetz bekannt, verbindet sich derzeit aber ausgesprochen häufig mit SSL-fähigen Webseiten. Einige Sicherheitsforscher registrierten auf ihren Servern in der vergangenen Woche mehrere Millionen SSL-Anfragen über hunderttausende IP-Adressen.

Hört sich nach viel Traffic auf Port 443 an, für einen DDoS-Angriff (Distributed Denial of Service) reicht das aber nicht wirklich aus. Vor allem, da auf der Liste der targetierten Webseiten vornehmlich Firmen und Organisationen stehen, deren Server über riesige Kapazitäten verfügen.

Die Bots initiieren eine SSL-Verbindung auf TCP-Ebene und schicken manipulierte Helo-Anfragen, die vom SSL-Server mit einer Fehlermeldung beantwortet werden. Nach kurzzeitigem Junk-Traffic wird die Verbindung wieder gekappt. Technisch gesehen handelt es sich also um eine Attacke, nur der Sinn will sich eben noch nicht ganz erschließen.

Während einige Sicherheitsforscher von einer fehlgeschlagenen DDoS-Attacke ausgehen, sehen andere Security-Experten in den Angriffen einen Testlauf. Wir halten Sie über die Untersuchungen auf dem Laufenden.

(ID:2043206)