Sinkholing des Hlux/Kelihos Botnetzes – was ist seitdem passiert?

Im März 2012 taten wir uns mit Crowdstrike, dem Honeynet Project und Dell SecureWorks zusammen, um die zweite Version des Hlux/Kelihos-Botnetzes außer Gefecht zu setzen. Wir meinen, es ist Zeit für ein Update: Was ist mit dem Sinkhole-Server in den letzten 19 Monaten passiert?

Es ist genau das eingetroffen, was wir erwartet haben. Das Botnetz wird kleiner und kleiner – die Opfer haben ihre PCs mit der Zeit desinfiziert oder neu installiert. Derzeit zählen wir durchschnittlich um die 1000 individuellen Bots pro Monat:

Zahl der individuellen Bots seit März 2012

Aufgrund der Peer-to-Peer-Architektur des Botnetzes könnte noch immer eine unabhängige Teilmenge des ursprünglichen Zombienetzes bestehen, die wir nie mit unserem Sinkhole verbunden haben. Aber wir sind der Meinung, dass die zahlenmäßige Entwicklung der Bots für jede derartige Teilmenge ähnlich aussehen würde, da die Botbetreiber sie ebenfalls zurückgelassen haben werden und sich vielmehr auf den Aufbau von "Hlux 3" konzentrieren.

Die meisten Bots laufen nach wie vor unter Windows XP, doch wir haben auch Bots unter Windows Server 2008 gefunden:

Betriebssysteme (letzte 14 Tage)

Die meisten Infektionen werden in Polen registriert:

Länder (letzte 14 Tage)

Die Gruppe hinter Hlux ist für ihre Fähigkeit bekannt, ihre illegale Infrastruktur schnell zu erneuern. Da diese Gruppe bekanntermaßen auch hinter dem Waledac-Botnetz steckt, ist das unserer Meinung nicht das Letzte, was wir von dieser Gang hören werden.

Last but not least – eine kurze Zusammenfassung der Hlux/Kelihos-Story:
Im September 2011 machte Kaspersky Lab das Hlux-Botnetz zum ersten Mal unschädlich. Die für dieses Botnetz verantwortlichen Kriminellen zeigten kein großes Interesse daran, Gegenmaßnahmen zu ergreifen – sie überließen das Zombie-Netzwerk seinem Schicksal (und unserer Kontrolle) und begannen umgehend mit dem Aufbau eines neuen Botnetzes. Nach kurzer Zeit tauchte Hlux 2 auf unserem Radar auf und wir taten es erneut und setzten auch das neue p2p-Netzwerk durch Sinkholing außer Gefecht. Und wieder baute die Cybergang ihr Botnetz neu auf – innerhalb von 20 Minuten war Hlux 3 geboren! Im März 2013 sahen sich die Online-Gangster mit einer erneuten Stilllegungsaktion konfrontiert  – initiiert und live durchgeführt auf der RSA-Konferenz 2013 von unseren Freunden von Crowdstrike.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.