Исследование

Новый ботнет Hlux/Kelihos обезврежен: история еще одной успешной операции

В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а также компаниями SurfNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со значительными изменениями в протоколе передачи данных и некоторыми новыми особенностями, включая заражение через флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.

Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В среду, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.

Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. большая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором:

Количество уникальных ботов через 24 ч

Мы также разослали по сети специально составленный список командных серверов, который должен был заменить первоначальный список и предотвратить получение ботами команд от ботоводов. В настоящее время злоумышленники не могут управлять ботами.

Однако через несколько часов после начала нашей операции ботоводы попытались принять контрмеры, выкатив новую версию бота. Мы также заметили, что ботоводы прекратили использовать сеть для рассылки спама и проведения DDoS-атак. В течение нескольких часов список Fast-Flux сети оставался пустым.

Спустя шесть дней после начала операции к нашему sinkhole-маршрутизатору были подсоединены более 116 000 ботов.

Количество уникальных ботов через 6 суток

Вот распределение ботов по ОС, под которыми они работают:

Распределение ботов по ОС

Большинство ботов находятся в Польше и США:

Распределение компьютеров, зараженных новым Hlux/Kelihos, по странам

Для осуществления этой новой операции по обезвреживанию ботнета наиболее важно было учесть изменения в протоколе обмена данными. Злоумышленники изменили порядок шифрования и методы упаковки данных.

Старый Hlux Новый Hlux
1 Blowfish с ключом 1 Blowfish с новым ключом 1
2 3DES с ключом 2 Распаковка с помощью Zlib
3 Blowfish с ключом 3 3DES с новым ключом 2
4 Распаковка с помощью Zlib Blowfish с новым ключом 3

Данные из поста Марии Гарнаевой

Конечно, создатели зловреда изменили ключи шифрования, а также RSA-ключи, при помощи которых подписываются фрагменты сообщений, посылаемых через P2P-сеть.

  Старый Hlux Новый Hlux
Controllers’ IP RSA ключ 1 New RSA ключ 1
Update/Exec urls1 RSA ключ 1 New RSA ключ 1
Update/Exec urls2 RSA ключ 2 New RSA ключ 2

Данные из поста Марии Гарнаевой

И наконец, хэширование названий полей в сообщениях больше не используется.

Новый ботнет Hlux/Kelihos обезврежен: история еще одной успешной операции

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике