Sinkhole ботнета Hlux / Kelihos: что произошло?

Ещё в марте 2012 мы объединились с Crowdstrike, the Honeynet Project и Dell SecureWorks, чтобы ликвидировать вторую версию ботнета Hlux/Kelihos. Сейчас подошло время рассмотреть, что произошло с этим sinkhole-сервером за 19 месяцев.

Сегодняшняя ситуация совпадает с той, что мы ожидали увидеть. Ботнет становится всё меньше и меньше – жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц:

Количество уникальных ботов с марта 2012 годаПоскольку ботнет имеет горизонтальную пиринговую архитектуру, до сих пор может существовать независимое подмножество первоначального ботнета, которое ни разу не соединялось с нашим sinkhole-сервером. Однако мы полагаем, что число ботов в таком подмножестве должно уменьшаться со временем, поскольку ботоводы, скорее всего, на них тоже махнули бы рукой и сосредоточились на построении «третьей версии» Hlux.

Большая часть ботов по-прежнему работает под Windows XP.Тем не менее, мы заметили, что некоторые боты работают под  Windows Server 2008:

Распределение ботов по ОС (последние 14 суток)Большинство зараженных компьютеров находятся в Польше:

Распределение по странам (за последние 14 суток)Известно, что группа ботоводов Hlux умеет быстро воссоздавать свою незаконную сеть. Также известно, что та же группа стоит за ботнетом Waledac. Полагаем, что об этой группе киберпреступников мы ещё услышим.

Краткий обзор истории ботнета Hlux/Kelihos:

В сентябре 2011 г. мы выполнили первую операцию по ликвидации ботнета Hlux. Ботоводы тогда не стали предпринимать ответных шагов и просто бросили сеть на произвол судьбы (сейчас она под нашим контролем) и сразу же стали строить новый ботнет. Вскоре на экранах радаров появился Hlux-2, и мы опять «внедрили агента» в пиринговую сеть, чтобы получить контроль над ней. И вновь киберпреступники быстро восстановили ботнет – всего через 20 минут на свет появился Hlux-3! В марте 2013 года мы провели новую операцию по ликвидации ботнета. Операция была инициирована и проведена проведена «с ходу» на конференции RSA в 2013 г. нашими друзьями из Crowdstrike.