1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Ботнет Kelihos возродился

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 4 фев 2012.

  1. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.447
    Симпатии:
    9.210
    Ботнет Kelihos, который разработчики из «Лаборатории Касперского» и Microsoft ликвидировали прошлой осенью, перекрыв контрольный канал, снова живее всех живых.

    По сравнению с его прошлой «инкарнацией», единственные изменения были внесены только в сам вредоносный код и список контроллера. Воскрешение ботнета наглядно демонстрирует сложность борьбы с подобными вредоносными сетями и укрепляет вирусописателей, что они могут жить неограниченно долго.

    [​IMG]

    В конце сентября разработчики из «Лаборатории Касперского» и Microsoft вместе вели работу по созданию инструмента, противостоящего Kelihos, который использовал метод синкхолинга (sinkholing). Суть метода заключается в перенаправлении командного трафика троянов с C&C-сервера на собственный сервер аналитиков.

    В данном случае боты, находящиеся на заражённых компьютерах, направлялись на сервер, контроль над которым осуществляли специалисты «ЛК», вместо сервера, контролируемый мошенниками. Для Kelihos, пирингового ботнета, исследователи из «Лаборатории Касперского» создали новый пиринговый адрес, с которым связывался инфицированный компьютер для получения дальнейших инструкций. Это позволило исследователям установить контроль над зомбосетью.

    «Очень скоро этот адрес стал превалирующим в ботнете, что привело к тому, что все боты связывались только с нашим сервером, — рассказывает Тиллманн Вернер (Tillmann Werner), исследователь из «Лаборатории Касперского», который принимал участие в ликвидации Kelihos. — Такое взаимодействие и носит название синкхолинг — когда компьютеры-зомби соединяются с «дыркой», вместо реальных контроллеров. В это же время мы распространили специально созданный перечень рабочих серверов, чтобы заменить изначальный список, и не дать ботам запрашивать команды. И с этого момента злоумышленники потеряли контроль над своей бот-сетью».

    Вернер также отметил, что синкхолинг не является окончательным решением проблемы, поскольку пиры в сети могут со временем связывать с другими контроллерами, и пир-«дырка» потеряет свою лидирующую позицию. Действенным решением проблемы станет внедрение в заражённую систему обновления, которое удалило бы или нейтрализовало ботов, однако существуют законодательные и этические нормы, которые связывают руки борцам с вредоносами.

    Как иронично замечает Threatpost, то, что произошло с момента деактивации ботнета в сентябре, вполне вписывается в предсказания Вернера. Зомбосеть Kelihos слегка модифицировала свою форму, и вернулась в строй. Ключ шифрования, используемый ботнетом, поменялся всего на один бит, также поменялись ключи подписей некоторых компонентов зомбосети.

    Новая версия Kelihos, по мнению аналитиков, увидела свет уже через несколько дней после обезвреживания ботнета в конце сентября, и продолжала использоваться для рассылки спам-сообщений.

    Источник
     
    5 пользователям это понравилось.
Загрузка...
Похожие темы - Ботнет Kelihos возродился
  1. Severnyj
    Ответов:
    0
    Просмотров:
    536
  2. Severnyj
    Ответов:
    0
    Просмотров:
    542
  3. Severnyj
    Ответов:
    1
    Просмотров:
    515
  4. Mila
    Ответов:
    0
    Просмотров:
    921
  5. akok
    Ответов:
    3
    Просмотров:
    1.117
  6. Warrior Kratos
    Ответов:
    0
    Просмотров:
    1.122

Поделиться этой страницей

Загрузка...