Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.
Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.
W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole) do sieci peer-to-peer.
Po krótkim czasie nasza maszyna lej zwiększyła swoją „popularność” w sieci – co oznacza, że spora część botnetu komunikuje się tylko z maszyną znajdującą się pod naszą kontrolą:
Rozprzestrzeniliśmy również specjalnie stworzoną listę serwerów zadań. Dzięki temu boty nie mogą żądać nowych poleceń od szkodliwych właścicieli botnetu i co za tym idzie nie mogą być już kontrolowane przez cyberprzestępców.
Jednak kilka godzin po rozpoczęciu naszej operacji właściciele botnetu zareagowali wypuszczeniem nowej wersji swojego bota. Zauważyliśmy również, że właściciele botnetu zaniechali rozsyłania spamu oraz przeprowadzania ataków DDoS za pośrednictwem swojej sieci.
Po sześciu dniach mamy teraz 116 000 botów łączących się z naszym lejem.
Poniżej przedstawiamy podział według wersji systemu operacyjnego:
Większość botów jest zlokalizowanych w Polsce i w Stanach Zjednoczonych:
Tło
Najważniejsze zmiany w stosunku do starego botnetu Hlux miały miejsce w protokole komunikacyjnym. W najniższej warstwie szkodliwi twórcy zmienili kolejność szyfrowania oraz metody pakowania.
№ | Stary Hlux | Nowy Hlux |
1 | Blowfish z key1 | Blowfish z nowym key1 |
2 | 3DES z key2 | Rozpakowywanie przy pomocy Zlib |
3 | Blowfish z key3 | 3DES z nowym key2 |
4 | Rozpakowywanie przy pomocy Zlib | Blowfish z nowym key3 |
Naturalnie autorzy tego szkodliwego oprogramowania zmienili klucze szyfrowania, jak również klucze RSA wykorzystywane do podpisywania części wiadomości wysyłanych poprzez sieć p2p.
Stary Hlux | Nowy Hlux | |
Controllers’ IP | RSA key1 | Nowy RSA key1 |
Update/Exec urls1 | RSA key1 | Nowy RSA key1 |
Update/Exec urls2 | RSA key2 | Nowy RSA key2 |
Analizy
Blog