В Европе ужесточат правовую ответственность за хакерство

В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а помимо прочего компаниями SurfNET и Kyrus Tech, Inc., успешно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со значительными изменениями в протоколе передачи данных и некоторыми новыми необыкновенностями, включая заражение через флэш-накопители и Bitcoin-функционал для генерирования биткойнов и кражи электронных кошельков.

Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели общо с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В српищу, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.



Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. великая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором:

Количество уникальных ботов через 24 ч

Мы также разослали по сети специально составленный список командных серверов, который должен был заменить первоначальный список и предотвратить получение ботами команд от ботоводов. В истиннее,истинное время злоумышленники не могут управлять ботами.

Однако через несколько часов после начала нашей операции ботоводы предприняли попытку принять контрмеры, выкатив новую версию бота. Мы также заметили, что ботоводы прекратили использовать сеть для рассылки спама и проведения DDoS-атак. В течение нескольких часов список Fast-Flux сети оставался порожним,пустопорожним.

Спустя шесть дней после начала операции к нашему sinkhole-маршрутизатору были подсоединены более 116 000 ботов.

Количество уникальных ботов через 6 суток

Вот распределение ботов по ОС, под которыми они работают:

Распределение ботов по ОС

Большинство ботов находятся в Польше и США:

Распределение компьютеров, зараженных новым Hlux/Kelihos, по странам

Для осуществления этой новой операции по обезвреживанию ботнета наиболее главно было учесть изменения в протоколе размена данными. Злоумышленники изменили порядок шифрования и методы упаковки данных.

Старый Hlux

Новый Hlux

1

Blowfish с ключом 1

Blowfish с новым ключом 1

2

3DES с ключом 2

Распаковка с помощью Zlib

3

Blowfish с ключом 3

3DES с новым ключом 2

4

Распаковка с помощью Zlib

Blowfish с новым ключом 3

Данные из поста Марии Гарнаевой

Конечно, создатели зловрпища изменили ключи шифрования, а также RSA-ключи, при помощи которых расписываются фрагменты сообщений, посылаемых через P2P-сеть.

 

Старый Hlux

Новый Hlux

Controllers’ IP

RSA ключ 1

New RSA ключ 1

Update/Exec urls1

RSA ключ 1

New RSA ключ 1

Update/Exec urls2

RSA ключ 2

New RSA ключ 2

Данные из поста Марии Гарнаевой

И наконец, хэширование названий полей в известиях,известьях,извещениях,извещеньях больше не используется.



Пинг не поддерживается.

Оставить комментарий