Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kolejne zamknięcie botnetu zakończone sukcesem: rozbicie nowego botnetu Hlux/Kelihos

Stefan Ortloff
Kaspersky Lab Expert
Dodany 30 marca 2012, 10:55 CEST
Tagi:

We wrześniu zeszłego roku Kaspersky Lab rozbił we współpracy z Digital Crimes Unit (DCU) Microsoftu, SurfNET oraz Kyrus Tech, Inc. niebezpieczny botnet Hlux/Kelihos poprzez zasysanie zainfekowanych maszyn do kontrolowanego przez nas hosta.

Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.

Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.

W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole) do sieci peer-to-peer.

Po krótkim czasie nasza maszyna lej zwiększyła swoją „popularność” w sieci – co oznacza, że spora część botnetu komunikuje się tylko z maszyną znajdującą się pod naszą kontrolą:

Number of unique bots after 24h

Liczba unikatowych botów po 24 godzinach

Rozprzestrzeniliśmy również specjalnie stworzoną listę serwerów zadań. Dzięki temu boty nie mogą żądać nowych poleceń od szkodliwych właścicieli botnetu i co za tym idzie nie mogą być już kontrolowane przez cyberprzestępców.

Jednak kilka godzin po rozpoczęciu naszej operacji właściciele botnetu zareagowali wypuszczeniem nowej wersji swojego bota. Zauważyliśmy również, że właściciele botnetu zaniechali rozsyłania spamu oraz przeprowadzania ataków DDoS za pośrednictwem swojej sieci.

Po sześciu dniach mamy teraz 116 000 botów łączących się z naszym lejem.

Number of unique bots after 6 days

Liczba unikatowych botów po 6 dniach

Poniżej przedstawiamy podział według wersji systemu operacyjnego:

0"OS-Versions"

Wersje systemu operacyjnego

Większość botów jest zlokalizowanych w Polsce i w Stanach Zjednoczonych:

Countries with new Hlux/Kelihos infections

Państwa, w których wykryto infekcje, w wyniku których komputery zostały przyłączone do botnetu Hlux/Kelihos

Tło

Najważniejsze zmiany w stosunku do starego botnetu Hlux miały miejsce w protokole komunikacyjnym. W najniższej warstwie szkodliwi twórcy zmienili kolejność szyfrowania oraz metody pakowania.

Stary Hlux Nowy Hlux
1 Blowfish z key1 Blowfish z nowym key1
2 3DES z key2 Rozpakowywanie przy pomocy Zlib
3 Blowfish z key3 3DES z nowym key2
4 Rozpakowywanie przy pomocy Zlib Blowfish z nowym key3
Tabela pochodzi z postu Marii

Naturalnie autorzy tego szkodliwego oprogramowania zmienili klucze szyfrowania, jak również klucze RSA wykorzystywane do podpisywania części wiadomości wysyłanych poprzez sieć p2p.

Stary Hlux Nowy Hlux
Controllers’ IP RSA key1 Nowy RSA key1
Update/Exec urls1 RSA key1 Nowy RSA key1
Update/Exec urls2 RSA key2 Nowy RSA key2
Tabela pochodzi z postu Marii