We wrześniu zeszłego roku Kaspersky Lab rozbił we współpracy z Digital Crimes Unit (DCU) Microsoftu, SurfNET oraz Kyrus Tech, Inc. niebezpieczny botnet Hlux/Kelihos poprzez zasysanie zainfekowanych maszyn do kontrolowanego przez nas hosta.

Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.

Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.

W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole) do sieci peer-to-peer.

Po krótkim czasie nasza maszyna lej zwiększyła swoją „popularność” w sieci – co oznacza, że spora część botnetu komunikuje się tylko z maszyną znajdującą się pod naszą kontrolą:

Rozprzestrzeniliśmy również specjalnie stworzoną listę serwerów zadań. Dzięki temu boty nie mogą żądać nowych poleceń od szkodliwych właścicieli botnetu i co za tym idzie nie mogą być już kontrolowane przez cyberprzestępców.

Jednak kilka godzin po rozpoczęciu naszej operacji właściciele botnetu zareagowali wypuszczeniem nowej wersji swojego bota. Zauważyliśmy również, że właściciele botnetu zaniechali rozsyłania spamu oraz przeprowadzania ataków DDoS za pośrednictwem swojej sieci.

Po sześciu dniach mamy teraz 116 000 botów łączących się z naszym lejem.

Poniżej przedstawiamy podział według wersji systemu operacyjnego:

Większość botów jest zlokalizowanych w Polsce i w Stanach Zjednoczonych:

Tło

Najważniejsze zmiany w stosunku do starego botnetu Hlux miały miejsce w protokole komunikacyjnym. W najniższej warstwie szkodliwi twórcy zmienili kolejność szyfrowania oraz metody pakowania.

№	Stary Hlux	Nowy Hlux
1	Blowfish z key1	Blowfish z nowym key1
2	3DES z key2	Rozpakowywanie przy pomocy Zlib
3	Blowfish z key3	3DES z nowym key2
4	Rozpakowywanie przy pomocy Zlib	Blowfish z nowym key3

Tabela pochodzi z postu Marii

Naturalnie autorzy tego szkodliwego oprogramowania zmienili klucze szyfrowania, jak również klucze RSA wykorzystywane do podpisywania części wiadomości wysyłanych poprzez sieć p2p.

	Stary Hlux	Nowy Hlux
Controllers’ IP	RSA key1	Nowy RSA key1
Update/Exec urls1	RSA key1	Nowy RSA key1
Update/Exec urls2	RSA key2	Nowy RSA key2

Tabela pochodzi z postu Marii