Вопросы и ответы: отключение нового ботнета Hlux/Kelihos

В: Что представляет собой ботнет Hlux/Kelihos?

О: Kelihos — это название ботнета по номенклатуре Microsoft, который у «Лаборатории Касперского» называется Hlux. Hlux является пиринговым (P2P) ботнетом с архитектурой, похожей на таковую ботнета Waledac. Сеть состоит из нескольких уровней узлов различных типов: контроллеров, маршрутизаторов и рабочих узлов.

В: Что такое пиринговый ботнет?

О: В отличие от классического ботнета, у пирингового (однорангового) ботнета нет центрального командного сервера (C&C). Каждый элемент сети может выполнять функции как сервера, так и клиента. Преимущество такого подхода с точки зрения злоумышленника состоит в отсутствии центрального сервера C&C, критически важного для функционирования всего ботнета. С нашей точки зрения, подобные ботнеты обладают тем недостатком, что их гораздо сложнее отключить, чем традиционные.

Архитектура традиционного и пирингового ботнетов:

Традиционный ботнет с центральным C&C

Архитектура P2P ботнета

В: Когда впервые в дикой среде был обнаружен Hlux/Kelihos?

О: Первая версия бота в дикой среде была обнаружена в декабре 2010 года. Наш первый пост, посвященный Hlux, появился в январе 2011 года. Самая первая известная запись об этой угрозе в блоге была опубликована на ресурсе ShadowServer в декабре 2010 года. Новая версия бота появилась сразу после нашей первой операции по внедрению в ботнет sinkhole-маршрутизатора, проведенной в сентябре 2011 года.

В: В чем состоит разница между старой и новой версией вредоносной программы Hlux/Kelihos?

О: Предыдущая версия использовалась для рассылки спама; ее также можно было применять для проведения распределенных DoS-атак. Что касается новой версии, мы обнаружили следующее:

• Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля Stuxnet.
• Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
• В боте встроен функционал кражи Bitcoin кошелька.
• В боте встроен функционал Bitcoin miner’a.
• Бот умеет работать в режиме прокси-сервера.
• Бот ищет на диске файлы, содержащие адреса электронной почты.
• Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

См. также: Коротко о HLUX. Откуда, куда и зачем?

Создатель новой версии Hlux также изменил протокол обмена данными:

• Изменены порядок шифрования и методы упаковки данных.
• Добавлены новые ключи шифрования (для сообщений, посылаемых через P2P-сеть) и RSA-ключи (при помощи которых подписываются фрагменты сообщений).
• Алгоритм хеширования имен полей в сообщениях больше не используется. Вместо него каждое поле именуется теперь 1-2 символьным именем.

См. также: Возвращение ботнета Kelihos/Hlux с новыми техниками

В: Был ли «новый» ботнет Hlux/Kelihos построен на основе «старого» ботнета, отключенного в сентябре прошлого года?

О: Да, вредоносное ПО было создано на основе того же кода, что и первоначальный ботнет Hlux/Kelihos. Анализ нового бота показал, что его функционал несколько обновлен, в частности, используются новые методы заражения и функции Bitcoin-майнера и кражи Bitcoin-кошельков. Как и первая версия, нынешний ботнет использует свою сеть зараженных компьютеров для рассылки спама, кражи личных данных и осуществления распределенных DoS-атак на отдельные цели.

Важно отметить, что отключенный ранее ботнет Hlux по-прежнему находится под контролем, и зараженные машины не получают команд.

Невозможно точно сказать, как создателям вредоносной программы удалось так быстро создать новый ботнет. Ботоводы, как правило, используют для восстановления ботнетов вредоносные сервисы с оплатой за каждую установку бота (pay-per-install).

В: Что такое sinkhole-операция?

О: В данном случае речь идет о действиях, связанных с обеспечением высокой популярности особого пира в одноранговой сети. Этот особый пир находится под нашим контролем и передает подключающимся к нему ботам специальным образом составленные списки заданий с целью сделать невозможным управление этими ботами со стороны первоначального мастера ботнета.

В: Сколько ботов входит в старый и новый ботнеты Hlux/Kelihos?

О: Пиринговый ботнет устроен таким образом, что его размер невозможно определить точно, а можно только оценить. По нашим оценкам, старый ботнет Hlux, который мы отключили в сентябре 2010 года, включал в себя порядка 40 000 разных IP-адресов. Число IP-адресов, входящих в новый ботнет, оценивается на уровне 110 000.

В: В каких странах вы наблюдаете наибольшее число заражений Hlux/Kelihos?

О: По старой версии Hlux мы регистрировали наибольшее число соединений с нашим sinkhole-маршрутизатором из Тайланда, Вьетнама, Индии и Кореи.

В. Кто участвовал в недавней (март 2012) операции по обезвреживанию ботнета?

О. В данной операции «Лаборатория Касперского» участвовала вместе с исследовательскими группами из организаций CrowdStrike, The HoneyNet Project и Dell SecureWorks.

В. Что делать пользователям, компьютеры которых оказались заражены ботом?

А. Хотя первые два ботнета Kelihos/Hlux обезврежены, многие компьютеры до сих пор заражены их вредоносным ПО. Бесплатные утилиты «Лаборатории Касперского» для удаления вирусов доступны на сайте http://support.kaspersky.ru/viruses/utility.

Найти дополнительные ресурсы и узнать, как уберечь компьютер от вредоносного ПО, вы можете по адресу http://support.kaspersky.ru/viruses.

Пока не обезврежены банды ботоводов, новые ботнеты с обновленным вредоносным ПО будут возникать и заражать компьютеры.

В. В данный момент боты обоих ботнетов замкнуты на sinkhole-маршрутизаторы, находящиеся под вашим контролем. Что дальше?

О. Это был главный вопрос, который мы задавали во время первой операции по обезвреживанию ботнета в сентябре 2011. Очевидным образом, мы не можем продолжать sinkhole-операцию в отношении ботнета Hlux бесконечно. Текущие меры являются лишь временным решением, они не решают проблему полностью – окончательным решением было бы только лечение зараженных машин. Мы ожидаем, что со временем количество машин, обращающихся к нашему sinkhole-маршрутизатору, будет постепенно уменьшаться по мере того, как компьютеры будут вылечены, либо на них будет переустановлена операционная система.

Теоретически, есть еще один способ избавиться от Hlux: мы знаем, как работает процесс обновления ботнета. Поэтому мы могли бы выпустить специальное обновление, которое устранит заражение и затем удалит себя. Однако такой вариант для большинства стран будет незаконным и потому останется в теории.

Единственное постоянное решение – добиться принятия политиками нового международного законодательства, позволяющего расширить сотрудничество между экспертами по кибербезопасности и правоохранительными органами. Sinkholing – это временное решение. Единственное возможное постоянное решение – выявить группы киберпреступников, стоящие за ботнетами, и дать возможность правоохранительным органам задержать их. Новые правовые нормы создадут правовое поле для осуществления следующих контрмер:

• Лечение множества зараженных компьютеров средствами самого ботнета.
• Использование наработок и результатов исследований, проводимых частными компаниями; предоставление компаниям, участвующим в расследовании, ордеров, которые обеспечат им защиту от преследования в соответствии с законодательством о киберпреступности за действия, совершенные в рамках конкретного расследования.
• Использование в ходе расследования ресурсов любой из взломанных злоумышленниками систем.
• Получение ордера на запуск эксплойта на удаленной системе в случаях, когда не существует других возможностей ее лечения.

После отключения старого ботнета Hlux мы спросили читателей портала securelist.com, что «Лаборатории Касперского» следует дальше делать с ботнетом. Среди читателей англоязычной версии портала реакция была однозначной. Всего 4% проголосовали за вариант «Оставить ботнет в покое», 9% согласились с вариантом «Продолжать текущую практику sinkholing, вести дневник IP-адресов и сообщать о них по соответствующим адресам, чтобы были приняты меры по лечению». Наконец, 85% принявших участие в опросе проголосовали за вариант «Продвигать утилиту для лечения от ботнета». В опросе было учтено 8539 голосов.