В Европе ужесточат правовую ответственность за хакерство

В сентябре прошлого года «Лаборатория Касперского» совместно с отделом по борьбе с киберпреступностью компании Microsoft, а также компаниями SurfNET и Kyrus Tech, Inc., удачно обезвредила опасный ботнет Hlux/Kelihos, внедрив в ботнет специальный sinkhole-маршрутизатор и переключив зараженные машины на хост, находящийся под нашим контролем.

Через несколько месяцев наши исследователи обнаружили новую версию вредоносного кода со вескими изменениями в протоколе передачи данных и некоторыми новыми необыкновенностями, включая заражение через флэш-накопители и Bitcoin-перечень возможностей для генерирования биткойнов и кражи электронных кошельков.

Мы рады сообщить, что операцию по обезвреживанию этого нового ботнета мы провели совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project.

Для проведения sinkhole-операции на прошлой неделе мы установили по всему миру некоторое количество машин. В српищу, 21 марта, мы наконец начали синхронизированное внедрение IP-адреса нашего sinkhole-маршрутизатора в P2P-сеть.



Через короткое время «популярность» нашего маршрутизатора в сети выросла, т.е. великая часть компьютеров, попавших в ботнет, обменивалась информацией только с нашим маршрутизатором:

Количество уникальных ботов через 24 ч

Мы помимо прочего разослали по сети специально составленный список командных серверов, который должен был заменить первоначальный список и предотвратить получение ботами команд от ботоводов. В настоящее время злоумышленники не могут управлять ботами.

Однако через несколько часов после начала нашей операции ботоводы попытались принять контрмеры, выкатив новую версию бота. Мы также заметили, что ботоводы прекратили использовать сеть для рассылки спама и проведения DDoS-атак. В течение нескольких часов список Fast-Flux сети оставался пустым.

Спустя шесть дней после начала операции к нашему sinkhole-маршрутизатору были подсоединены более 116 000 ботов.

Количество уникальных ботов через 6 суток

Вот распределение ботов по ОС, под которыми они работают:

Распределение ботов по ОС

Большинство ботов находятся в Польше и Соединенные Штаты:

Распределение компьютеров, зараженных новым Hlux/Kelihos, по странам

Для притворения в жизнь этой новой операции по обезвреживанию ботнета наиболее важно было учесть изменения в протоколе обмена данными. Злоумышленники изменили порядок шифрования и методы упаковки данных.

Старый Hlux

Новый Hlux

1

Blowfish с ключом 1

Blowfish с новым ключом 1

2

3DES с ключом 2

Распаковка с поддержкою,подмогою Zlib

3

Blowfish с ключом 3

3DES с новым ключом 2

4

Распаковка с помощью Zlib

Blowfish с новым ключом 3

Данные из поста Марии Гарнаевой

Конечно, создатели зловреда изменили ключи шифрования, а также RSA-ключи, при помощи которых подписываются фрагменты сообщений, посылаемых через P2P-сеть.

 

Старый Hlux

Новый Hlux

Controllers’ IP

RSA ключ 1

New RSA ключ 1

Update/Exec urls1

RSA ключ 1

New RSA ключ 1

Update/Exec urls2

RSA ключ 2

New RSA ключ 2

Данные из поста Марии Гарнаевой

И в конце концов, хэширование названий полей в известиях,известьях,извещениях,извещеньях больше не используется.



Пинг не поддерживается.

Оставить комментарий