В Европе ужесточат правовую ответственность за хакерство

В сент. предыдущего г. «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Майкрософт, и компаниями SURFNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет особый sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Ч/з несколько месяцев наши ученые нашли новую версию вредоносного кода со существенными изменениями в протоколе передачи данных и некоторыми новыми особенностями, включая заражение ч/з флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.

Мы рады передать, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CROWDSTRIKE Intelligence Team, Dell SECUREWORKS и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое число машин. В среду, 21 мар., мы наконец начали синхронизированное введение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.



Ч/з короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. большая часть компьютеров, попавших в ботнет, обменивалась информацией лишь с нашим маршрутизатором:

Число уникальных ботов ч/з 24 ч

Мы к тому же разослали по сети специально составленный перечень командных серверов, который должен был заменить первоначальный перечень и предотвратить получение ботами команд от ботоводов. Сейчас злоумышленники не могут руководить ботами.

Хотя ч/з несколько часов после начала нашей операции ботоводы попытались взять контрмеры, выкатив новую версию бота. Мы к тому же заметили, что ботоводы прекратили применять сеть для рассылки спама и проведения DDOS-атак. На протяжении некоторого количества часов перечень Fast-Flux сети оставался пустым.

Спустя 6 суток после начала операции к нашему sinkhole-маршрутизатору были подсоединены более 116 000 ботов.

Число уникальных ботов ч/з 6 дней

Вот распределение ботов по ОС, под которыми они работают:

Распределение ботов по ОС

Больше всего ботов располагаются в Польше и США:

Распределение компьютеров, инфицированных новым Hlux/Kelihos, по странам

Для осуществления этой новой операции по обезвреживанию ботнета максимально важно было учесть перемены в протоколе обмена данными. Злоумышленники изменили порядок шифровки и методы упаковки данных.

Старый Hlux

Новый Hlux

1

Blowfish с ключом 1

Blowfish с новым ключом 1

2

3DES с ключом 2

Распаковка при помощи Zlib

3

Blowfish с ключом 3

3DES с новым ключом 2

4

Распаковка при помощи Zlib

Blowfish с новым ключом 3

Данные из поста Марии Гарнаевой

Естественно, создатели зловреда изменили ключи шифровки, и RSA-ключи, с помощью которых подписываются фрагменты сообщений, посылаемых ч/з P2P-сеть.

Старый Hlux

Новый Hlux

Controllers’ IP

RSA ключ 1

New RSA ключ 1

Update/Exec urls1

RSA ключ 1

New RSA ключ 1

Update/Exec urls2

RSA ключ 2

New RSA ключ 2

Данные из поста Марии Гарнаевой

И наконец, хэширование названий полей в сообщениях более не применяется.



Пинг не поддерживается.

Оставить комментарий