Хочешь работать? Плати!

В: Что представляет собой ботнет Hlux/Kelihos?

О: Kelihos — это название ботнета по номенклатуре Microsoft, который у «Лаборатории Касперского» величается,именуется Hlux. Hlux является пиринговым (P2P) ботнетом с архитектурой, похожей на таковую ботнета Waledac. Сеть состоит из нескольких уровней узлов различных типов: контроллеров, маршрутизаторов и рабочих узлов.

В: Что такое пиринговый ботнет?

О: В отличие от классического ботнета, у пирингового (однорангового) ботнета нет центрального командного сервера (C&C). Каждый элемент сети может выполнять функции как сервера, так и клиента. Преимущество такого подхода с точки зрения злоумышленника состоит в отсутствии центрального сервера C&C, критически важного для функционирования всего ботнета. С нашей точки зрения, сходственные ботнеты обладают тем недостатком, что их гораздо труднее отключить, чем традиционные.

Архитектура традиционного и пирингового ботнетов:

Традиционный ботнет с центральным C&C

Архитектура P2P ботнета

В: Когда впервые в бешеной среде был обнаружен Hlux/Kelihos?

О: Первая версия бота в дикой среде была обнаружена в декабре 2010 года. Наш первый пост, посвященный Hlux, появился в январе 2011 года. Самая первая знаменитая запись об этой угрозе в блоге была опубликована на ресурсе ShadowServer в декабре 2010 года. Новая версия бота появилась сразу после нашей первой операции по внедрению в ботнет sinkhole-маршрутизатора, проведенной в сентябре 2011 года.

В: В чем состоит разница между старой и новой версией вредоносной программы Hlux/Kelihos?

О: Предыдущая версия использовалась для рассылки спама; ее помимо прочего можно было применять для проведения распределенных DoS-атак. Что касается новой версии, мы обнаружили следующее:

Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля Stuxnet.

Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.

В боте встроен функционал кражи Bitcoin кошелька.

В боте встроен перечень возможностей Bitcoin miner’a.

Бот умеет работать в режиме прокси-сервера.

Бот отыскивает,разыскивает на диске файлы, содержащие адреса электронной почты.

Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.

См. помимо прочего: Коротко о HLUX. Откуда, куда и зачем?

Создатель новой версии Hlux также изменил протокол обмена данными:

Изменены порядок шифрования и методы упаковки данных.



Добавлены новые ключи шифрования (для сообщений, посылаемых через P2P-сеть) и RSA-ключи (при помощи которых подписываются фрагменты сообщений).

Алгоритм хеширования имен полей в известиях,известьях,извещениях,извещеньях больше не используется. Вместо него каждое поле именуется теперь 1-2 символьным именем.

См. помимо прочего: Возвращение ботнета Kelihos/Hlux с новыми техниками

В: Был ли «новый» ботнет Hlux/Kelihos построен на основе «старого» ботнета, отключенного в сентябре прошлого года?

О: Да, вредоносное ПО было создано на основе того же кода, что и первоначальный ботнет Hlux/Kelihos. Анализ нового бота показал, что его функционал несколько обновлен, в частности, используются новые методы заражения и функции Bitcoin-майнера и кражи Bitcoin-кошельков. Как и первая версия, теперешний ботнет использует свою сеть зараженных компьютеров для рассылки спама, кражи личных данных и осуществления распределенных DoS-атак на отдельные цели.

Важно отметить, что отключенный ранее ботнет Hlux по-прежнему находится под контролем, и зараженные машины не получают команд.

Невозможно точно сказать, как творцам вредоносной программы удалось так быстро создать новый ботнет. Ботоводы, как правило, используют для возобновления,возобновленья,возрождения,возрожденья ботнетов вредоносные сервисы с оплатой за каждую установку бота (pay-per-install).

В: Что такое sinkhole-операция?

О: В данном случае речь идет о деяниях,деяньях, связанных с обеспечением высокой популярности особого пира в одноранговой сети. Этот особый пир находится под нашим контролем и передает подключающимся к нему ботам специальным образом составленные списки заданий с целью сделать невозможным управление этими ботами со стороны первоначального мастера ботнета.

В: Сколько ботов входит в старый и новый ботнеты Hlux/Kelihos?

О: Пиринговый ботнет устроен таким образом, что его размер невероятно определить точно, а можно только оценить. По нашим оценкам, старый ботнет Hlux, который мы отключили в сентябре 2010 года, включал в себя порядка 40 000 разных IP-адресов. Число IP-адресов, входящих в новый ботнет, оценивается на уровне 110 000.

В: В каких странах вы наблюдаете величайшее,наивеличайшее число заражений Hlux/Kelihos?

О: По старой версии Hlux мы регистрировали величайшее,наивеличайшее число соединений с нашим sinkhole-маршрутизатором из Тайланда, Вьетнама, Индии и Кореи.

По новой версии распределение выглядит следующим образом:

Географическое распределение новой версии Hlux/Kelihos

В. Кто участвовал в недавней (март 2012) операции по обезвреживанию ботнета?

О. В данной операции «Лаборатория Касперского» участвовала вместе с исследовательскими группами из организаций CrowdStrike, The HoneyNet Project и Dell SecureWorks.

В. Что делать пользователям, компьютеры которых оказались заражены ботом?

А. Хотя первые два ботнета Kelihos/Hlux обезврежены, почти все компьютеры до сих пор заражены их вредоносным ПО. Бесплатные утилиты «Лаборатории Касперского» для удаления вирусов доступны на сайте http://support.kaspersky.ru/viruses/utility.

Найти дополнительные ресурсы и узнать, как уберечь компьютер от вредоносного ПО, вы можете по адресу http://support.kaspersky.ru/viruses.

Пока не обезврежены банды ботоводов, новые ботнеты с обновленным вредоносным ПО будут возникать и заражать компьютеры.

В. В данный момент боты обоих ботнетов замкнуты на sinkhole-маршрутизаторы, находящиеся под вашим контролем. Что дальше?

О. Это был основной вопрос, который мы задавали во время первой операции по обезвреживанию ботнета в сентябре 2011. Очевидным образом, мы не можем продолжать sinkhole-операцию в отношении ботнета Hlux безгранично,неисчерпаемо,нескончаемо. Текущие меры являются лишь временным решением, они не решают проблему полностью – конечным решением было бы только лечение зараженных машин. Мы ждём, что со временем количество машин, обращающихся к нашему sinkhole-маршрутизатору, будет со временем уменьшаться по мере того, как компьютеры будут вылечены, либо на них будет переустановлена операционная система.

Теоретически, есть еще один способ избавиться от Hlux: мы знаем, как работает процесс обновления ботнета. Поэтому мы могли бы выпустить специальное обновление, которое устранит заражение и после этого удалит себя. Однако такой вариант для большинства стран будет незаконным и потому останется в теории.

Единственное постоянное решение – добиться принятия политическими деятелями нового международного законодательства, позволяющего расширить сотрудничество между экспертами по кибербезопасности и правоохранительными органами. Sinkholing – это временное решение. Единственное вероятное постоянное решение – выявить группы киберпреступников, стоящие за ботнетами, и дать возможность правоохранительным органам задержать их. Новые правовые нормы создадут правовое поле для осуществления следующих контрмер:

Лечение множества зараженных компьютеров средствами самого ботнета.

Использование наработок и результатов исследований, проводимых приватными компаниями; предоставление компаниям, участвующим в расследовании, ордеров, которые обеспечат им защиту от преследования в соответствии с законодательством о киберпреступности за действия, совершенные в рамках конкретного расследования.

Использование в ходе расследования ресурсов любой из взломанных злодеями систем.

Получение ордера на запуск эксплойта на дистанционной системе в случаях, когда не существует других возможностей ее лечения.

После отключения старого ботнета Hlux мы спросили читателей портала securelist.com, что «Лаборатории Касперского» следует дальше делать с ботнетом. Среди читателей англоязычной версии портала реакция была однозначной. Всего 4% проголосовали за вариант «Оставить ботнет в покое», 9% согласились с вариантом «Продолжать текущую практику sinkholing, вести дневник IP-адресов и сообщать о них по соответствующим адресам, чтобы были приняты меры по лечению». Наконец, 85% принявших участие в опросе проголосовали за вариант «Продвигать утилиту для лечения от ботнета». В опросе было учтено 8539 голосов. (Прим. редактора: на securelist.ru результаты опроса отличались.)



Пинг не поддерживается.

Оставить комментарий