Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

FAQ: Neues Hlux/Kelihos-Botnetz außer Gefecht gesetzt


  sortloff        2 April 2012 | 16:11  MSK

Ihr Kommentar  

F: Was ist das Hlux/Kelihos-Botnetz?
A: Kelihos ist Microsofts Name für das von Kaspersky als Hlux bezeichnete Botnetz. Hlux ist ein Peer-to-Peer-Botnetz, dessen Architektur eine Reihe von Ähnlichkeiten und Übereinstimmungen mit dem Waledac-Botnetz aufweist. Es besteht aus mehreren Ebenen mit unterschiedlichen Arten von Knoten: Controller, Router und Worker.

F: Was ist ein Peer-to-Peer-Botnetz?
A: Anders als ein klassisches Botnetz gibt es in einem Peer-to-Peer-Botnetz keinen zentralisierten Command-and-Control-Server (C&C). Jeder Teilnehmer des Netzwerks kann als Server und/oder Client fungieren. Der Vorteil aus Sicht der Botnetz-Nutznießer ist der Wegfall eines zentralen C&C als herausragende Schwachstelle. Für uns ist es aus genau diesem Grund sehr viel schwieriger, ein Botnetz dieser Art zu zerschlagen.

Architektur eines traditionellen Botnetzes im Gegensatz zu einem P2P-Botnetz:

Traditionelles Botnetz mit zentralem C&C

Traditionelles Botnetz mit zentralem C&C


Architektur eines P2P-Botnetzes

Architektur eines P2P-Botnetzes

F: Wann erschien Hlux/Kelihos erstmals in freier Wildbahn?
A: Im Dezember 2010 wurde die erste Version in freier Wildbahn registriert. Unser erster Blogeintrag zu Hlux wurde im Januar 2011 gepostet. Der erste bekannte Blogeintrag wurde im Dezember 2010 von ShadowServer veröffentlicht. Die neue Version erschien direkt nach unserer ersten Sinkhole-Operation im September 2011.

F: Was unterscheidet die alte von der neuen Hlux/Kelihos-Malware?
A: Die ältere Version wurde zum Spamversand eingesetzt und war in der Lage, DDoS-Attacken durchzuführen. Bei der neuen Version konnten wir feststellen, dass:


  • der Bot in der Lage ist, Flash-Laufwerke zu infizieren, indem er dort eine Datei mit dem Namen “Copy a Shortcut to google.Ink” erstellt, ebenso wie Stuxnet es getan hat.
  • der Bot nach Konfigurationsdateien für viele FTP-Clients suchen und diese an die Kommandoserver senden kann.
  • der Bot über ein integriertes Feature zum Diebstahl von Bitcoin-Brieftaschen verfügt.
  • der Bot ebenfalls ein Bitcoin-Miner-Feature enthält.
  • der Bot im Proxy-Server-Modus laufen kann.
  • der Bot Festplatten nach Dateien mit E-Mail-Adressen durchsucht.
  • der Bot über einen Sniffer zum Abfangen von Passwörtern für E-Mail, FTP und http-Sessions verfügt.

Siehe auch: The where and why of HLUX

Die Autoren der neuen Hlux-Version haben zudem das Kommunikationsprotokoll geändert:


  • Die Reihenfolge der Verschlüsselungs- und Komprimierungsmethoden wurde geändert.
  • Neue Chiffrierungsschlüssel (p2p-Netzwerk-Mitteilungen) und RSA-Schlüssel (zum Signieren von Fragmenten der Mitteilungspayload) wurden hinzugefügt
  • Feldnamen in der Payload bestehen nun aus 1-2 Zeichen, kein Hashen mehr.

Siehe auch: Kelihos Hlux botnet returns with new techniques

F: Wurde das “neue Hlux/Kelihos”-Botnetz auf der Grundlage des “alten” Botnetzes wiedererrichtet, das im September letzten Jahres ausgeschaltet wurde?
A: Ja, die Malware beruht auf derselben Codierung wie das ursprüngliche Hlux/Kelihos-Botnetz. Die neue Malware im neuen Botnetz hat einige neue Updates, inklusive neuer Infektionsmethoden und und Bitcoin-Features zum Mining und Brieftaschendiebstahl. Ähnlich wie die erste Version setzt das Botnetz sein Netzwerk von infizierten Computern ein, um Spam zu versenden, persönliche Daten zu stehlen und DDoS-Attacken auf bestimmte Ziele durchzuführen.

Wichtig ist an dieser Stelle, dass das Hlux-Botnetz, das bereits von uns zerschlagen wurde, noch immer unter Kontrolle ist, und die infizierten Maschinen keine Befehle empfangen.

Die Frage, wie die Virenautoren es schaffen konnten, in so kurzer Zeit ein neues Botnetz aufzubauen, kann nicht mit Sicherheit beantwortet werden. Botmaster benutzen typischerweise schädliche Pay-per-install-Services, um Botnetze wiederaufzubauen.

F: Was bedeutet Sinkholing?
A: In diesem Fall sind damit Aktionen gemeint, die zu einer hohen Popularität eines bestimmten Peers innerhalb des Peer-to-Peer-Netzwerks führen. Dieser spezielle Peer befindet sich unter unserer Kontrolle und versorgt die mit ihm verbundenen Bots mit speziell erstellten Job-Lists, um so dem eigentlichen Botmaster die Kontrolle zu entziehen.

F: Wie viele Bots umfassen das neue und das alte Hlux/Kelihos-Botnetz?
A: Vom Aufbau her lässt sich die Größe eines Peer-to-Peer-Botnetzes nur schätzen. Für das alte Hlux-Botnetz, das wir im September 2011 außer Gefecht gesetzt haben, schätzen wir ungefähr 40000 verschiedene IP-Adressen. Für das neue Botnetz schätzen wir in etwa 110.000 IP-Adressen.

F: In welchen Ländern werden die meisten Infektionen mit Hlux/Kelihos registriert?
A: Bei der alten Version von Hlux gab es die meisten Verbindungen mit unserem Sinkhole in Thailand, Vietnam, Indien und Korea.

Für die neue Version gilt die folgende Verteilung:

Länder mit neuen Hlux/Kelihos-Infektionen

Länder mit neuen Hlux/Kelihos-Infektionen

F: Wer war an der letzten Zerschlagung beteiligt (März 2012)?
A: Kaspersky Lab kooperierte bei dieser Operation mit dem Forschungsteam von CrowdStrike, dem HoneyNet Project und Dell SecureWorks.

F: Was können User tun, wenn ihr Rechner mit Malware dieses Botnetzes infiziert wurde?
A: Obgleich die ersten beiden Kelihos/Hlux-Botnetze unschädlich gemacht wurden, sind noch immer viele Computer mit dieser Malware infiziert. Besuchen Sie bitte die Seite, auf der Kaspersky Lab kostenlose Tools zur Desinfektion Ihres Computers anbietet.

Für weitere Ressourcen und Informationen darüber, wie Sie Ihren Computer schützen, gehen Sie bitte auf http://support.kaspersky.com/viruses.

Solange die Botnetz-Gangs weiterhin aktiv sind, werden immer wieder neue Botnetz mit aktualisierter Malware aufgebaut werden und Computer infizieren.

F: Die Bots beider Botnetze werden nun von Maschinen gesteuert, die von Kaspersky Lab kontrolliert werden. Wie geht’s weiter?
A: Das ist genau die Frage, die wir uns bei der ersten Zerschlagung im September 2011 stellten. Sicherlich können wir Hlux nicht ewig auf diese Weise kontrollieren. Die aktuellen Maßnahmen sind nur eine vorübergehende Lösung, aber sie lösen das Problem nicht endgültig, da die einzig reelle Lösung in der Desinfektion der befallenen Maschinen bestehen würde. Wir erwarten, dass die Zahl der Computer, die sich mit unserem Sinkhole verbinden, mit der Zeit langsam zurückgehen wird – in dem Maße, in dem die Computer gesäubert und und neu installiert werden.

Darüber hinaus gibt es eine andere theoretische Option, Hlux endgültig ein Ende zu bereiten: Wir wissen, wie der Aktualisierungsprozess des Bots funktioniert. Wir könnten dieses Wissen nutzen und unser eigenes Update aufspielen, das die Infektionen entfernt und sich selbst beendet. Das wäre allerdings in den meisten Ländern illegal.

Die einzige dauerhafte Lösung besteht darin, an die Politik zu appellieren, damit eine international Gesetzgebung und Gesetze geschaffen werden, die eine engere Kooperation zwischen Experten für Cyber-Sicherheit und föderativen Strafverfolgungsbehörden ermöglichen. Sinkholing ist eine zeitlich begrenzte Lösung, doch die Gruppierungen hinter den Botnetzen aufspüren und den Strafverfolgungsbehörden ermöglichen, diese dingfest zu machen, ist die einzige dauerhafte Lösung des Problems. Neue Vorschriften würden der Umsetzung der folgenden Gegenmaßnahmen eine bessere juristische Basis verschaffen:


  • Durchführung von massenhaften Sanierungen über ein Botnetz;
  • Verwendung des Fachwissens und der Forschungsergebnisse privater Firmen, unter garantierter Immunität gegenüber die Cyberkriminalität betreffenden Gesetzen bei bestimmten Ermittlungen;
  • Einsatz der Ressourcen jedes kompromittierten Systems während einer Ermittlung;
  • Berechtigung zu entfernter Nutzung eines Systems, wenn keine andere Alternative verfügbar ist.


Nach der Zerschlagung des alten Hlux-Botnetzes fragten wir unsere Leser auf securelist.com, wie Kaspersky Lab mit dem Botnetz verfahren sollte: Die Antwort fiel recht eindeutig aus: Nur 4% stimmten für „Überlasst das Botnetz sich selbst”. 9% waren für “Haltet das Sinkholing aufrecht und liefert den entsprechenden Kontakten IP-Adressen-Logs, so dass sie Maßnahmen ergreifen können.” Und 85% stimmten für “Gebt ein Desinfektions-Tool heraus, das die Infektionen entfernt”. Bei dieser Umfrage wurden 8539 Stimmen gezählt.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen