Preguntas más frecuentes: Desactivación de la nueva red zombi Hlux/Kelihos

P:¿Qué es la red zombi Hlux/Kelihos?

R: Kelihos es el nombre que Microsoft da a la que Kaspersky llama Hlux. Hlux es una red peer-to-peer con una arquitectura similar a la utilizada por Waledac botnet. Consta de niveles de distintos tipos de nodos: controladores, routers y trabajadores.

P:¿Qué es una red zombi peer-to-peer?

R: A diferencia de la clásica red zombi, una red zombi P2P no necesita de un servidor centralizado de control y comando (C&C). Cada miembro de la red puede actuar como servidor y/o cliente. Desde el punto de vista del ciberdelincuente, una de las ventajas es la omisión del C&C central como un-solo-punto-de-falla. Desde nuestro punto de vista, esto dificulta en gran medida la neutralización de este tipo de red zombi.

Arquitectura de la red zombi tradicional versus la red peer-to-peer:

Red zombi tradicional con C&C centralizado

Arquitectura de la red zombi peer-to-peer

P:¿Cuándo se detectó Hlux/Kelihos por primera vez en Internet?

R: La primera versión se detectó en diciembre de 2010. Nuestra primera entrada del blog sobre Hlux fue en enero de 2011. La primera publicación conocida en un blog fue ShadowServer en diciembre de 2010. La nueva versión apareció justo después de nuestra operación de drenaje en septiembre de 2011.

P:¿Cuáles son las diferencias entre el antiguo y el nuevo Hlux/Kelihos?

R: La antigua versión se usaba para distribuir spam y tenía la habilidad para lanzar ataques distribuidos DDoS. Con esta nueva versión, hemos descubierto que:

• El bot es capaz de infectar las unidades, creando en ellas un archivo llamado “Copy a Shortcut to google.Ink”, en la misma forma que lo hacía Stuxnet.
• El bot puede buscar los archivos de configuración de numerosos clientes FTP y transferirlos a sus servidores C&C.
• El bot trae incorporada una función para el robo de dinero Bitcoin.
• El bot también incluye una función minera Bitcoin.
• El bot puede operar en modo de servidor proxi.
• El bot busca en los discos duros archivos que contengan direcciones de correo.
• El bot incluye un rastreador para interceptar contraseñas de correo, FTP y HTTP.

También puedes ver: El dónde y por qué de HLUX

El creador de la nueva versión de Hlux también cambió el protocolo de comunicación:

• Modificó el orden de codificación y los métodos de compresión.
• Añadió nuevas llaves de codificación (mensajes de red P2P) y llaves RSA (para formar partes del mensaje de datos).
• Los campos de nombre en los datos son ahora nombres de 1-2 símbolos, sin hashing.

También puedes ver: Kelihos/Hlux botnet vuelve con nuevas técnicas

P:La “nueva” red zombi Hlux/Kelihos ¿se reconstruyó a partir de la “vieja” red zombi que fue clausurada en septiembre de 2011?

R: Sí. El programa malicioso se construyó usando el mismo código que la red zombi original Hlux/Kelihos. El nuevo programa malicioso mostró que la segunda red zombi tenía nuevas updates, incluyendo métodos de infección y funciones Bitcoin para minería y robo de dinero. Al igual que la primera versión, la red zombi también usó su red de ordenadores infectados para enviar spam, robar datos personales, y lanzar ataques distribuidos DDoS contra blancos determinados.

Es importante hacer notar que la red que hemos desactivado sigue bajo control y los ordenadores infectados no reciben comandos.

No podemos responder con certeza sobre cómo lograron los creadores del programa malicioso construir la nueva red zombi en tan poco tiempo. Los ciberdelincuentes dueños de la red zombi suelen usar servicios maliciosos pagar-por-instalar para reconstruir sus redes zombi.

P:¿Qué significa drenar?

R: En este caso, se refiere a las acciones que hacen muy popular a un peer especial dentro de la red peer-to-peer. Este peer especial está bajo nuestro control y brinda a los bots que se conectan listas de trabajo cuidadosamente elaboradas para quitarlos del control de los ciberpiratas originales que controlan la red zombi.

P:¿Cuántos bots existen en las redes zombi Hlux/Kelihos antigua y nueva?

R: Por su diseño, sólo podemos estimar el tamaño de una red zombi peer-to-peer. Respecto a la antigua red zombi Hlux que desmantelamos en septiembre de 2011, estimamos unas 40.000 distintas direcciones IP. En cuanto a la nueva red zombi, estimamos unas 110.000 direcciones IP.

P:¿En qué países se ven más infecciones de Hlux/Kelihos?

R: Para la antigua versión, vimos que la mayoría de las conexiones a nuestro drenaje provenían de Tailandia, Vietnam, India y Corea.

Para la nueva versión, tenemos esta distribución:

Países con nuevas infecciones Hlux/Kelihos

P:¿Quién participó en el reciente desmantelamiento (marzo de 2012)?

R: En esta operación, Kaspersky Lab trabajó con equipos de investigación de CrowdStrike, HoneyNet Project y Dell SecureWorks.

P:¿Qué puede hacer un usuario si su sistema se infecta con programas maliciosos de esta red zombi?

R: Aunque se han desactivado las dos primeras redes zombi Kelihos/Hlux, muchos ordenadores quedaron infectados. Por favor, visita http://support.kaspersky.com/viruses/utility para acceder a las herramientas gratuitas que Kaspersky Lab ofrece para limpiar tu ordenador.

http://support.kaspersky.com/viruses.

Hasta que las pandillas de ciberdelincuentes que operan las redes zombi no estén desmanteladas por completo, seguirán apareciendo otras con programas maliciosos actualizados y seguirán infectando más ordenadores.

P:Los bots de ambas redes zombi han sido drenados a máquinas bajo vuestro control. ¿Qué pasa ahora?

R: En realidad esta es la principal pregunta que nos hicimos en la primera operación de neutralización en septiembre de 2011. Obviamente, no podemos seguir drenando a Hlux para siempre. Las medidas actuales son sólo una solución temporal que no resuelven definitivamente el problema, porque la única solución real sería limpiar los ordenadores infectados. Esperamos que con el tiempo, la cantidad de equipos que caen en nuestro drenaje vaya paulatinamente disminuyendo a medida que los ordenadores se vayan limpiando y reinstalando.

Aparte de esto, existe una opción teórica para deshacerse de Hlux de una vez por todas: Sabemos cómo funciona el proceso de actualización de los bots. Podríamos usar este conocimiento y publicar nuestra propia actualización que elimine las infecciones y se autoelimine. Sin embargo, esto es ilegal en muchos países.

La única solución definitiva es exigir a los políticos una legislación internacional y que elaboren leyes que permitan la acción conjunta entre profesionales en seguridad informática y las autoridades respectivas. El drenaje es una solución temporal, pero la solución final pasa por encontrar y arrestar a las pandillas que operan las redes zombi. La nuevas regulaciones debe otorgar mayor jurisdicción para llevar a cabo las siguientes contramedidas:

• Ejecutar reparaciones masivas a través de una red zombi
• Usar la experiencia e investigación de compañías privadas y brindarles garantías de inmunidad contra las leyes contra la ciberdelincuencia en casos específicos de investigación
• Usar los recursos de cualquier sistema comprometido durante una investigación
• Obtener una garantía legal para la explotación remota de sistemas cuando no exista otra alternativa

Después del desmantelamiento de la antigua Hlux preguntamos a nuestros lectores de securelist.com sobre cómo debería proceder Kaspersky Lab con la red zombi. La respuesta fue bastante clara: sólo un 4% votó por “No meterse con la red zombi”. Un 9% estuvo de acuerdo con “Mantener el drenaje y proporcionar listas de direcciones IP a los contactos apropiados para que tomen las acciones necesarias”. Y un 85% votó por “Usar una herramienta de limpieza que elimine las infecciones”. En este sondeo participaron 8.539 votantes.