Як - Лабораторія Касперського - відключила ботнет Hlux
Минулого тижня компанія Microsoft повідомила про припинення роботи небезпечного ботнету, який був відповідальний за розсилку спаму, крадіжку конфіденційної фінансової інформації, біржові шахрайства типу «накачування та скидання» та DDoS-атаки.
«Лабораторія Касперського» відіграла вирішальну роль в операції зі знешкодження ботнету. Фахівці «Лабораторії» провели роботу з аналізу шкідливого коду, який використовується в роботі, розкрили його протокол обміну даними та розробили інструменти для впливу на його пірингову інфраструктуру. Ми тісно співпрацювали з Групою боротьби з кіберзлочинами Microsoft (DCU), обмінюючись інформацією та надаючи їм доступ до нашої системи оперативного відстеження ботнетів.
Головним елементом у цій операції стало використання sinkhole-маршрутизатора — один із комп'ютерів «Лабораторії Касперського» став частиною ботнету з метою отримання контролю над ним. Важливо розуміти, що ботнет, як і раніше, існує, але нині контролюється «Лабораторією Касперського». Паралельно зі зверненням Microsoft до судової системи США з вимогою відключити домени, які використовуються ботнетом, ми розпочали свою операцію з впровадження в ботнет sinkhole-маршрутизатора. На даний час до впровадженого маршрутизатора щохвилини звертається 3000 хостів. У цьому блогописі описується внутрішні робота ботнета, а також операція, проведена нами для запобігання його подальшому функціонуванню.
Робочі вузли
Вузли-маршрутизатори
Вузли-маршрутизатори формують свого роду кістяк ботнету. Як і на робочих вузлах, на кожному маршрутизаторі підтримується список бенкетів, що містить інформацію про інші бенкети. В тежчас, кожен маршрутизатор працює як проксі-сервер, перенаправляючи вхідні з'єднання на один із вузлів-контролерів. Маршрутизатори можуть виконувати завдання, але їх головним завданням є формування і підтримка проксі-шару між робочими вузлами і контролерами.
Контролери
193.105.134.189 193.105.134.190 195.88.191.55 195.88.191.57 89.46.251.158 89.46.251.1
Пірингова мережа
m_ip: 41.212.81.2 m_live_time: 22639 seconds m_last_active_time: 2011-09-08 11:24:26 GMT m_listening_port: 80 m_client_c0: ceea5f4b7f67
Fast-Flux Service Network
hellohello123.com magdali.com restonal.com editial.com gratima.com partric.com wargalo.com wormetal.com >bevvyky.com earplat.com metapli.com
Ботнет також використав сотні піддоменів під ce.ms та cz.cc, де дозволено безкоштовну реєстрацію. Дані піддомени використовувалися лише для поширення оновлень, а не як резервний канал зв'язку з ботнетом.
Заходи протидії
Бот, який може приєднатися до ботнету, не зможе перетворити жодне з імен резервних доменів. За фактом це виявляється непотрібним — наша система стеження ботнетом за сім місяців своєї роботи не зафіксувала жодної спроби звернутися до резервного каналу, тобто. завжди був доступний принаймні один бенкет.
Що ж далі?
Теоретично, є ще один спосіб позбутися Hlux: ми знаємо, як працює процес оновлення ботнета. Використовуючи це знання, ми могли б випустити спеціальне оновлення, яке усуне зараження і потім вилучить себе. Однак, такий варіант дляБільшість країн буде незаконним і тому залишиться в теорії.
Подяка
Підтримка роботи sinkhole-маршрутизатора, здатного обробляти велику кількість з'єднань, потребує відповідних ресурсів. Ми вдячні компанії SURFnet за підтримку, яку вона нам надала, в т.ч. надавши ідеальну інфраструктуру для роботи маршрутизатора.