Neue Erfolgsstory: Auch das neue Hlux/Kelihos-Botnetz zerschlagen

Im letzten September machte Kaspersky Lab in Zusammenarbeit mit Microsoft’s Digital Crimes Unit (DCU), SurfNET und Kyrus Tech, Inc. erfolgreich das gefährliche Botnetz Hlux/Kelihos mit Hilfe von Sinkholing unschädlich, d.h. durch Umleitung der infizierten Rechner zu einem Host, der von uns kontrolliert wird.

Einige Monate später stießen unsere Experten auf eine neue Version der Malware mit bedeutenden Veränderungen im Kommunikationsprotokoll und neuen “Features”, wie etwa Flash-Drive-Infektion, Bitcoin-Mining und Bitcoin-Taschendiebstahl.

Jetzt freuen wir uns mitteilen zu können, dass wir mit dem CrowdStrike Intelligence Team, dem Honeynet Project und Dell SecureWorks eine Partnerschaft eingegangen sind, um auch dieses Botnetz außer Gefecht zu setzen.

In der vorvergangenen Woche haben wir über den gesamten Globus verteilte Rechner für diese Sinkholing-Operation eingerichtet und am Mittwoch, dem 21. März haben wir schließlich mit der synchronisierten Verbreitung unserer Sinkhole-IP-Adresse über das Peer-to-Peer-Netz begonnen.

Nach kurzer Zeit stieg die “Popularität” unseres Sinkhole-Rechners innerhalb des Netzwerkes, was bedeutet, dass ein großer Teil des Botnetzes nur noch mit von uns kontrollierten Computern kommuniziert:

Number of unique bots after 24h

Number of unique bots after 24h

Wir haben zudem eine Liste von speziell eingerichteten Steuerungsservern über das Netz versendet. Das hindert die Bots daran, neue Befehle von den schädlichen Bot-Hirten anzufordern. An diesem Punkt können die Bots nicht länger von den bösen Jungs kontrolliert werden.

Doch einige Stunden nach Beginn unserer Operation versuchten die Botmaster Gegenmaßnahmen zu ergreifen, indem sie eine neue Version ihres Bots einsetzten. Wir bemerkten zudem, dass die Botmaster den Spam-Versand über ihr Netzwerk ebenso wie die DDoS-Attacken eingestellt hatten. Auch die Fast-Flux-Netzwerk-Liste des Botnetzes ist zum Zeitpunkt des Verfassens dieses Blogs seit einigen Stunden leer.

Nach sechs Tagen waren über 116 000 Bots mit unserem Sinkhole verbunden.

Number of unique bots after 6 days

Zahl einzelner Bots nach 6 Tagen

Hier ein Diagramm zur Verteilung der Bots nach den Betriebssystem-Versionen, unter denen sie laufen:

0"

Verteilung der Bots nach Betriebssystem-Versionen

Die meisten Bots befinden sich in Polen und in den USA:

Countries with new Hlux/Kelihos infections

Länder mit neuen Hlux/Kelihos-Infektionen

Hintergrund

Bei der Umsetzung dieser neuerlichen Operation zur Zerschlagung eines Botnetzes waren die Veränderungen im Kommunikationsprotokoll von allergrößter Bedeutung. Die Cyberkriminellen hatten die Verschlüsselungsreihenfolge und die Packungsmethoden geändert.

Altes Hlux Neues Hlux
1 Blowfish mit Schlüssel Blowfish mit neuem Schlüssel1
2 3DES mit Schlüssel2 Entpacken mit Zlib
3 Blowfish mit Schlüssel3 3DES mit neuem Schlüssel2
4 Entpacken mit Zlib Blowfish mit neuem Schlüssel3

Daten aus Marias Blog

Natürlich hatten die Autoren dieser Malware ebenso die Verschlüsselungscodes wie auch die RSA-Schlüssel geändert, mit Hilfe derer Fragmente der Mitteilung signiert werden, die über das P2P-Netz versendet wird.

Altes Hlux Neues Hlux
Controllers’ IP RSA Schlüssel1 Neuer RSA Schlüssel1
Update/Exec urls1 RSA Schlüssel1 Neuer RSA Schlüssel1
Update/Exec urls2 RSA Schlüssel2 Neuer RSA Schlüssel2

Taken from Marias blog post

Schließlich werden auch die gehashten Feldnamen der Mitteilung nicht mehr verwendet.
Lesen Sie hierzu bitte auch FAQ: Neues Hlux/Kelihos Botnet außer Gefecht gesetzt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.