Анализ ожившего ботнета Hlux/Kelihos

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 16 фев 2012.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Две недели назад специалисты с печалью констатировали, что с таким трудом добытая победа над одним из крупнейших ботнетов Hlux/Kelihos оказалась пирровой — спустя четыре месяца он снова ожил. Воскрешение ботнета наглядно демонстрирует сложность борьбы с подобными вредоносными сетями.

    В сентябре 2011 года Kelihos был элегантно обезврежен в результате совместной операции Microsoft и «Лаборатория Касперского». Они использовали технику синкхолинга (sinkholing), в результате чего удалось перенаправить командный трафик троянов на собственный C&C-сервер. И вот теперь Kelihos снова ожил, так что для «Лаборатории Касперского» это уже дело чести — разобраться, что произошло и как работает новая система.

    В первую очередь они объясняют, что старый ботнет по-прежнему находится под контролем «Лаборатории Касперского» и инфицированные машины не получают никаких команд от C&C-серверов и не рассылают спам.

    То, что мы видим сейчас — это уже новая версия Hlux/Kelihos, на новых инфицированных машинах, но с тем же кодом ботнета (md5: 010AC0BFF69EB945108B57B40A4784BE, размер: 882176 B). Его анализ показывает следующее: кроме рассылки спама и проведения DDoS-атак, ботнет инфицирует флэшки, помещая на них файл Copy a Shortcut to google.Ink, как это делал Stuxnet, осуществляет поиск конфигурационных файлов от разных FTP-клиентов и отправляет их к себе на удалённый сервер, ворует кошельки Bitcoin, имеет встроенный Bitcoin-майнер для вычисления биткоинов на заражённой машине, может работать в режиме прокси-сервера, осуществляет поиск на диске файлов с email-адресами, оснащён сниффером для перехвата паролей в от почты, FTP и в HTTP-сессиях.

    [​IMG]
    Часть кода Hlux, ответственная за кражу Bitcoin-кошельков

    Вредоносное ПО загружается на компьютеры пользователей с доменов fast flux преимущественно в зоне .EU. Маленький загрузчик Hlux размером 47 КБ, такой же распространяется через ботнеты GBOT и Virut, инсталляции осуществляются методом drive-by с помощью набора эксплоитов Incognito.

    На данный момент количество компьютеров в ботнете Hlux оценивается примерно в 8000 и постоянно расширяется за счёт заражения новых сайтов, куда внедряются скрипты с редиректом на Incognito, сайты заражаются по FTP (см. выше функционал по воровству паролей от FTP-клиентов). Как и раньше, ботнет занимается, в основном, рассылкой спама.



    источник
     
    10 пользователям это понравилось.

Поделиться этой страницей