Меню контента Закрыть

Исследование

Sinkhole ботнета Hlux / Kelihos: что произошло?

Исследование

мин. на чтение

Авторы

Ещё в марте 2012 мы объединились с Crowdstrike, the Honeynet Project и Dell SecureWorks, чтобы ликвидировать вторую версию ботнета Hlux/Kelihos. Сейчас подошло время рассмотреть, что произошло с этим sinkhole-сервером за 19 месяцев.

Сегодняшняя ситуация совпадает с той, что мы ожидали увидеть. Ботнет становится всё меньше и меньше – жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц:

Количество уникальных ботов с марта 2012 года
Поскольку ботнет имеет горизонтальную пиринговую архитектуру, до сих пор может существовать независимое подмножество первоначального ботнета, которое ни разу не соединялось с нашим sinkhole-сервером. Однако мы полагаем, что число ботов в таком подмножестве должно уменьшаться со временем, поскольку ботоводы, скорее всего, на них тоже махнули бы рукой и сосредоточились на построении «третьей версии» Hlux.

Большая часть ботов по-прежнему работает под Windows XP.Тем не менее, мы заметили, что некоторые боты работают под  Windows Server 2008:

Распределение ботов по ОС (последние 14 суток)
Большинство зараженных компьютеров находятся в Польше:

Распределение по странам (за последние 14 суток)
Известно, что группа ботоводов Hlux умеет быстро воссоздавать свою незаконную сеть. Также известно, что та же группа стоит за ботнетом Waledac. Полагаем, что об этой группе киберпреступников мы ещё услышим.

Краткий обзор истории ботнета Hlux/Kelihos:

В сентябре 2011 г. мы выполнили первую операцию по ликвидации ботнета Hlux. Ботоводы тогда не стали предпринимать ответных шагов и просто бросили сеть на произвол судьбы (сейчас она под нашим контролем) и сразу же стали строить новый ботнет. Вскоре на экранах радаров появился Hlux-2, и мы опять «внедрили агента» в пиринговую сеть, чтобы получить контроль над ней. И вновь киберпреступники быстро восстановили ботнет – всего через 20 минут на свет появился Hlux-3! В марте 2013 года мы провели новую операцию по ликвидации ботнета. Операция была инициирована и проведена проведена «с ходу» на конференции RSA в 2013 г. нашими друзьями из Crowdstrike.

Авторы

Sinkhole ботнета Hlux / Kelihos: что произошло?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике