Spam-Botnetz umfunktioniert

Cutwail Botnet bombardiert SSL-Webseiten - DDoS-Angriff oder Testlauf?

03.02.2010 | Redakteur: Stephan Augsten

Cutwail-Bots machen derzeit mit Anfragen an SSL-fähige Webseiten auf sich aufmerksam.
Cutwail-Bots machen derzeit mit Anfragen an SSL-fähige Webseiten auf sich aufmerksam.

Das als Cutwail und Pushdo bekannte Botnetz verbindet sich derzeit über den SSL-Port 443 zu zahlreichen bekannten Webseiten und -diensten. Zu den Zielen gehören unter anderem Twitter, ICQ und Paypal, aber auch die Webseiten von Microsoft, Symantec und der CIA. Sicherheitsforscher rätseln noch immer über den Sinn dieser Aktion.

Cutwail alias Pushdo infiziert Client-Rechner in Form eines Trojaners, zeigt dann aber die typischen Verhaltensweise eines Wurms. So enthält die Malware eine Download-Routine, um sich selbst zu aktualisieren und neue Schadcode-Segmente nachzuladen. Gleichzeitig wird der infizierte PC in ein Botnetz eingegliedert und erhält seine Instruktionen über Command-and-Control-Server.

Cutwail ist eigentlich als Spam-Botnetz bekannt, verbindet sich derzeit aber ausgesprochen häufig mit SSL-fähigen Webseiten. Einige Sicherheitsforscher registrierten auf ihren Servern in der vergangenen Woche mehrere Millionen SSL-Anfragen über hunderttausende IP-Adressen.

Hört sich nach viel Traffic auf Port 443 an, für einen DDoS-Angriff (Distributed Denial of Service) reicht das aber nicht wirklich aus. Vor allem, da auf der Liste der targetierten Webseiten vornehmlich Firmen und Organisationen stehen, deren Server über riesige Kapazitäten verfügen.

Die Bots initiieren eine SSL-Verbindung auf TCP-Ebene und schicken manipulierte Helo-Anfragen, die vom SSL-Server mit einer Fehlermeldung beantwortet werden. Nach kurzzeitigem Junk-Traffic wird die Verbindung wieder gekappt. Technisch gesehen handelt es sich also um eine Attacke, nur der Sinn will sich eben noch nicht ganz erschließen.

Während einige Sicherheitsforscher von einer fehlgeschlagenen DDoS-Attacke ausgehen, sehen andere Security-Experten in den Angriffen einen Testlauf. Wir halten Sie über die Untersuchungen auf dem Laufenden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2043206 / Malware)