Nieuwe malware voor het opzetten van een DDoS-botnet heeft een functie ingebouwd waarmee anti-DDoS-maatregelen worden omzeild. Beveiligingsonderzoekers van Arbor Networks ontdekten een nieuwe variant van DirtJumper die een stuk krachtiger is geworden met een arsenaal aan DDoS-methodes.

DirtJumper evolueert

DirtJumper is een DDoS’end botnet dat afgelopen zomer flink aan kracht heeft ingewonnen. Het botnet wordt vooral gebruikt door hacktivisten voor politiek gemotiveerde cyberaanvallen. In 2011 werd de malware opgemerkt en toen werd opgemerkt dat de gebruikte toolkit aan het evolueren was.

Kaspersky’s blog Treatpost waarschuwde in juni van dit jaar dat DirtJumper-malware wel eens een opleving zou kunnen doormaken met de nieuwe module Drive. Arbor schrijft nu dat een nieuwe aanvalsmethode rekening houdt met anti-DDoS-maatregelen. De toolkit detecteert het als er anti-DDoS-cookies worden ingezet en metatags worden gebruikt om verkeer om te leiden.

Anti-DDoS omzeild

DirtJumper Drive springt volgens Arbor op dit soort omleidingstechnieken in om de DDoS-aanval kracht bij te zetten. Bij elke aanval wordt zo een nieuwe URL gebruikt wanneer er anti-DDoS-maatregelen worden gedetecteerd. De DDoS-aanval wordt zo effectiever van omdat er meer pakketjes naar de server raken.

Ook maakt de module gebruik van verschillende aanvalsmethoden om mitigatie van anti-DDoS-leveranciers zoveel mogelijk te frustreren. Zo kan het botnet met de nieuwe toolkit naast andere DDoS-aanvalsmethodes nu bijvoorbeeld een smurf attack uitvoeren en andere methodes inzetten om te schakelen tussen verschillende aanvalstypes.

Malware verfijnt technieken

Een andere toevoeging aan Drive houdt HTTP-verbindingen langer open doordat het botnet een serveraanvraag verstuurt en tijdens het verzenden van de payload micropauzes inlast. Op deze manier wordt de socket zo lang mogelijk open gehouden.

Arbor verwacht dat dergelijke modules ook aan andere DDoS-toolkits zullen worden toegevoegd. Daarmee wordt de strijd tegen DDoS-aanvallen lastiger, maar niet onmogelijk. Wel waarschuwt het beveiligingsbedrijf dat de makers van DirtJumper Drive eraan zullen werken om deze omzeilingstechnieken te verfijnen zodat ze efficiënter en effectiever worden.