Исследование

Новый ботнет Hlux/Kelihos обезврежен: история еще одной успешной операции

В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а также компаниями SurfNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со значительными изменениями в протоколе передачи данных и некоторыми новыми особенностями, включая заражение через флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.

Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В среду, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.

Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. большая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором:

Количество уникальных ботов через 24 ч

Мы также разослали по сети специально составленный список командных серверов, который должен был заменить первоначальный список и предотвратить получение ботами команд от ботоводов. В настоящее время злоумышленники не могут управлять ботами.

Однако через несколько часов после начала нашей операции ботоводы попытались принять контрмеры, выкатив новую версию бота. Мы также заметили, что ботоводы прекратили использовать сеть для рассылки спама и проведения DDoS-атак. В течение нескольких часов список Fast-Flux сети оставался пустым.

Спустя шесть дней после начала операции к нашему sinkhole-маршрутизатору были подсоединены более 116 000 ботов.

Количество уникальных ботов через 6 суток

Вот распределение ботов по ОС, под которыми они работают:

Распределение ботов по ОС

Большинство ботов находятся в Польше и США:

Распределение компьютеров, зараженных новым Hlux/Kelihos, по странам

Для осуществления этой новой операции по обезвреживанию ботнета наиболее важно было учесть изменения в протоколе обмена данными. Злоумышленники изменили порядок шифрования и методы упаковки данных.

Старый Hlux Новый Hlux
1 Blowfish с ключом 1 Blowfish с новым ключом 1
2 3DES с ключом 2 Распаковка с помощью Zlib
3 Blowfish с ключом 3 3DES с новым ключом 2
4 Распаковка с помощью Zlib Blowfish с новым ключом 3

Данные из поста Марии Гарнаевой

Конечно, создатели зловреда изменили ключи шифрования, а также RSA-ключи, при помощи которых подписываются фрагменты сообщений, посылаемых через P2P-сеть.

  Старый Hlux Новый Hlux
Controllers’ IP RSA ключ 1 New RSA ключ 1
Update/Exec urls1 RSA ключ 1 New RSA ключ 1
Update/Exec urls2 RSA ключ 2 New RSA ключ 2

Данные из поста Марии Гарнаевой

И наконец, хэширование названий полей в сообщениях больше не используется.

Новый ботнет Hlux/Kelihos обезврежен: история еще одной успешной операции

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике