Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Neue Erfolgsstory: Auch das neue Hlux/Kelihos-Botnetz zerschlagen


  sortloff        2 April 2012 | 15:47  MSK

Ihr Kommentar  

Im letzten September machte Kaspersky Lab in Zusammenarbeit mit Microsoft’s Digital Crimes Unit (DCU), SurfNET und Kyrus Tech, Inc. erfolgreich das gefährliche Botnetz Hlux/Kelihos mit Hilfe von Sinkholing unschädlich, d.h. durch Umleitung der infizierten Rechner zu einem Host, der von uns kontrolliert wird.

Einige Monate später stießen unsere Experten auf eine neue Version der Malware mit bedeutenden Veränderungen im Kommunikationsprotokoll und neuen “Features”, wie etwa Flash-Drive-Infektion, Bitcoin-Mining und Bitcoin-Taschendiebstahl.

Jetzt freuen wir uns mitteilen zu können, dass wir mit dem CrowdStrike Intelligence Team, dem Honeynet Project und Dell SecureWorks eine Partnerschaft eingegangen sind, um auch dieses Botnetz außer Gefecht zu setzen.

In der vorvergangenen Woche haben wir über den gesamten Globus verteilte Rechner für diese Sinkholing-Operation eingerichtet und am Mittwoch, dem 21. März haben wir schließlich mit der synchronisierten Verbreitung unserer Sinkhole-IP-Adresse über das Peer-to-Peer-Netz begonnen.

Nach kurzer Zeit stieg die “Popularität” unseres Sinkhole-Rechners innerhalb des Netzwerkes, was bedeutet, dass ein großer Teil des Botnetzes nur noch mit von uns kontrollierten Computern kommuniziert:

Number of unique bots after 24h

Number of unique bots after 24h

Wir haben zudem eine Liste von speziell eingerichteten Steuerungsservern über das Netz versendet. Das hindert die Bots daran, neue Befehle von den schädlichen Bot-Hirten anzufordern. An diesem Punkt können die Bots nicht länger von den bösen Jungs kontrolliert werden.

Doch einige Stunden nach Beginn unserer Operation versuchten die Botmaster Gegenmaßnahmen zu ergreifen, indem sie eine neue Version ihres Bots einsetzten. Wir bemerkten zudem, dass die Botmaster den Spam-Versand über ihr Netzwerk ebenso wie die DDoS-Attacken eingestellt hatten. Auch die Fast-Flux-Netzwerk-Liste des Botnetzes ist zum Zeitpunkt des Verfassens dieses Blogs seit einigen Stunden leer.

Nach sechs Tagen waren über 116 000 Bots mit unserem Sinkhole verbunden.

Number of unique bots after 6 days

Zahl einzelner Bots nach 6 Tagen

Hier ein Diagramm zur Verteilung der Bots nach den Betriebssystem-Versionen, unter denen sie laufen:

0"

Verteilung der Bots nach Betriebssystem-Versionen

Die meisten Bots befinden sich in Polen und in den USA:

Countries with new Hlux/Kelihos infections

Länder mit neuen Hlux/Kelihos-Infektionen

Hintergrund

Bei der Umsetzung dieser neuerlichen Operation zur Zerschlagung eines Botnetzes waren die Veränderungen im Kommunikationsprotokoll von allergrößter Bedeutung. Die Cyberkriminellen hatten die Verschlüsselungsreihenfolge und die Packungsmethoden geändert.







Altes Hlux Neues Hlux
1 Blowfish mit Schlüssel Blowfish mit neuem Schlüssel1
2 3DES mit Schlüssel2 Entpacken mit Zlib
3 Blowfish mit Schlüssel3 3DES mit neuem Schlüssel2
4 Entpacken mit Zlib Blowfish mit neuem Schlüssel3

Daten aus Marias Blog

Natürlich hatten die Autoren dieser Malware ebenso die Verschlüsselungscodes wie auch die RSA-Schlüssel geändert, mit Hilfe derer Fragmente der Mitteilung signiert werden, die über das P2P-Netz versendet wird.






Altes Hlux Neues Hlux
Controllers’ IP RSA Schlüssel1 Neuer RSA Schlüssel1
Update/Exec urls1 RSA Schlüssel1 Neuer RSA Schlüssel1
Update/Exec urls2 RSA Schlüssel2 Neuer RSA Schlüssel2

Taken from Marias blog post

Schließlich werden auch die gehashten Feldnamen der Mitteilung nicht mehr verwendet.
Lesen Sie hierzu bitte auch FAQ: Neues Hlux/Kelihos Botnet außer Gefecht gesetzt.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen