Авторы
В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а также компаниями SurfNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.
Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со значительными изменениями в протоколе передачи данных и некоторыми новыми особенностями, включая заражение через флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.
Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.
Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В среду, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.
Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. большая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором:
Количество уникальных ботов через 24 ч
Мы также разослали по сети специально составленный список командных серверов, который должен был заменить первоначальный список и предотвратить получение ботами команд от ботоводов. В настоящее время злоумышленники не могут управлять ботами.
Однако через несколько часов после начала нашей операции ботоводы попытались принять контрмеры, выкатив новую версию бота. Мы также заметили, что ботоводы прекратили использовать сеть для рассылки спама и проведения DDoS-атак. В течение нескольких часов список Fast-Flux сети оставался пустым.
Спустя шесть дней после начала операции к нашему sinkhole-маршрутизатору были подсоединены более 116 000 ботов.
Количество уникальных ботов через 6 суток
Вот распределение ботов по ОС, под которыми они работают:
Распределение ботов по ОС
Большинство ботов находятся в Польше и США:
Распределение компьютеров, зараженных новым Hlux/Kelihos, по странам
Для осуществления этой новой операции по обезвреживанию ботнета наиболее важно было учесть изменения в протоколе обмена данными. Злоумышленники изменили порядок шифрования и методы упаковки данных.
| № | Старый Hlux | Новый Hlux |
| 1 | Blowfish с ключом 1 | Blowfish с новым ключом 1 |
| 2 | 3DES с ключом 2 | Распаковка с помощью Zlib |
| 3 | Blowfish с ключом 3 | 3DES с новым ключом 2 |
| 4 | Распаковка с помощью Zlib | Blowfish с новым ключом 3 |
Данные из поста Марии Гарнаевой
Конечно, создатели зловреда изменили ключи шифрования, а также RSA-ключи, при помощи которых подписываются фрагменты сообщений, посылаемых через P2P-сеть.
| Старый Hlux | Новый Hlux | |
| Controllers’ IP | RSA ключ 1 | New RSA ключ 1 |
| Update/Exec urls1 | RSA ключ 1 | New RSA ключ 1 |
| Update/Exec urls2 | RSA ключ 2 | New RSA ключ 2 |
Данные из поста Марии Гарнаевой
И наконец, хэширование названий полей в сообщениях больше не используется.
Авторы
От тех же авторов
В той же категории
Новый ботнет Hlux/Kelihos обезврежен: история еще одной успешной операции