07.04.2012, 05:32
Za Kaspersky Lab...fragmenty dwóch artykułów dotyczących tej samej infekcji
Źródło
I dalej
Źródło
Cytat: We wrześniu zeszłego roku Kaspersky Lab rozbił we współpracy z Digital Crimes Unit (DCU) Microsoftu, SurfNET oraz Kyrus Tech, Inc. niebezpieczny botnet Hlux/Kelihos poprzez zasysanie zainfekowanych maszyn do kontrolowanego przez nas hosta.
Kilka miesięcy później nasi analitycy natknęli się na nową wersję szkodliwego oprogramowania odpowiedzialnego za przyłączanie komputerów do botnetu ze znacznymi zmianami w protokole komunikacji oraz nowymi „funkcjami”, takimi jak infekowanie dysków flash czy kradzież portfela bitcoinów.
Z przyjemnością informujemy, że we współpracy z CrowdStrike Intelligence Team, Honeynet Project oraz Dell SecureWorks zdołaliśmy rozbić ten nowy botnet.
W zeszłym tygodniu ustawiliśmy rozproszone na całym świecie maszyny w celu przeprowadzenia operacji zasysania (sinkholing) i w środę 21 marca rozpoczęliśmy zsynchronizowane rozprzestrzenianie adresu IP naszego leja (sinkhole) do sieci peer-to-peer.
(...)
Poniżej przedstawiamy podział według wersji systemu operacyjnego:
[Aby zobaczyć linki, zarejestruj się tutaj]
Większość botów jest zlokalizowanych w Polsce i w Stanach Zjednoczonych :
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
I dalej
Cytat: P: Czym jest botnet Hlux/Kelihos?
O: Kelihos to stosowana przez Microsoft nazwa botentu określanego przez Kaspersky Lab jako Hlux. Hlux jest botnetem peer-to-peer o architekturze podobnej do tej stosowanej dla botnetu Waledac. Składa się z warstw różnych rodzajów węzłów: kontrolerów, ruterów i pracowników.
P: Co to jest botnet peer-to-peer?
O: W przeciwieństwie do klasycznego botnetu, botnet peer-to-peer nie wykorzystuje scentralizowanego serwera kontroli (C&C). Każdy członek sieci może działać jako serwer oraz/lub klient. Z punktu widzenia szkodliwego użytkownika zaletami takiej struktury jest pominięcie centralnego C&C jako pojedynczego punktu awarii. Z naszego punktu widzenia tego rodzaju botnet jest znacznie trudniejszy do zniszczenia.
Tradycyjny botnet ze scentralizowanym C&C
![[Obrazek: 208193435.jpg]](https://www.securelist.com/en/images/pictures/klblog/208193435.jpg)
Architektura botnetu P2P
![[Obrazek: 208193436.jpg]](https://www.securelist.com/en/images/pictures/klblog/208193436.jpg)
(...)
P: Czym różni się stare i nowe szkodliwe oprogramowanie botnetu Hlux/Kelihos?
O: Starsza wersja była wykorzystywana do rozprzestrzeniania spamu i potrafiła przeprowadzać ataki DDoS (distributed denial-of-service). W nowej wersji odkryliśmy, że:
Bot potrafi infekować dyski flash, tworząc na nich plik o nazwie „Copy a Shortcut to google.Ink” w ten sam sposób co Stuxnet.
Bot potrafi wyszukiwać pliki konfiguracji dla wielu klientów FTP i przenosić je do serwerów kontroli.
Bot posiada wbudowaną funkcję kradzieży portfela Bitcoin.
Bot zawiera również funkcję kopalni Bitcoin.
Bot może działać w trybie serwera poxy.
Bot przeszukuje dyski twarde w celu znalezienia plików zawierających adresy e-mail.
Bot posiada sniffera przechwytującego hasła do poczty e-mail, sesji FTP oraz HTTP.
Twórca nowej wersji botnetu Hlux zmienił również protokół komunikacji:
Zmienił kolejność szyfrowania i metody kompresji
Dodał nowe klucze szyfrowania (wiadomości sieci p2p) oraz klucze RSA (do podpisywania części szkodliwej funkcji wiadomości)
Nazwy pól w szkodliwej funkcji składają się teraz z 1-2 znaków, bez hashów.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"