Investigación

La nueva historia de la exitosa clausura de una red zombi – Desmantelamiento de la nueva red zombi Hlux/Kelihos

El pasado septiembre, en colaboración con Microsoft’s Digital Crimes Unit (DCU), SurfNET y Kyrus Tech, Inc., Kaspersky Lab desactivó con éxito la peligrosa red zombi Hlux/Kelihos drenando los equipos infectados hacia un host bajo nuestro control.

Pocos meses después, nuestros investigadores se toparon con otra versión del programa malicioso con importantes cambios en el protocolo de comunicación y nuevas “funciones”, como la infección de unidades de memoria portátil flash-drive y el robo de monederos bitcoin-mining.
Ahora, nos complace anunciar que estamos trabajando junto a CrowdStrike Intelligence Team, Honeynet Project y Dell SecureWorks para desactivar esta nueva red zombi.

La semana pasada, establecimos ordenadores distribuidos por todo el mundo para esta operación de drenaje, y el miércoles 21 de marzo, comenzamos por fin la propagación sincronizada de nuestra dirección IP de drenaje a la red peer-to-peer.

Poco después, aumentó la “popularidad” de nuestra máquina de drenaje en la red, lo que significa que gran parte de la red zombi sólo se comunica con una dirección bajo nuestro control:

Number of unique bots after 24h

Cantidad de bots únicos después de 24 horas

También distribuimos una lista de servidores de trabajo cuidadosamente elaborada. Esto evita que los bots hagan peticiones de nuevos comandos a los ciberdelincuentes que controlan la red. En este momento los bots ya no están bajo su control.

Sin embargo, a las pocas horas de haber comenzado nuestra operación de neutralización, los ciberdelincuentes dueños de la red zombi intentaron tomar contramedidas lanzando una nueva versión de su bot. También notamos que estos ciberpiratas detuvieron el envío de spam y ataques DDoS desde su red. Asimismo, la lista fast-flux-nerwork de la red zombi sigue vacía desde hace unas horas.

Ahora, después de seis días, contamos con más de 116.000 bots conectados a nuestro drenaje.

Number of unique bots after 6 days

Cantidad de bots únicos después de 6 días

Esta es una imagen de las versiones de sistemas operativos:

Versiones de sistemas operativos

La mayoría de los bots se encuentran en Polonia y en EE.UU.:

Countries with new Hlux/Kelihos infections

Países con nuevas infecciones Hlux/Kelihos

ANTECEDENTES

Para el nuevo bloqueo, los cambios más importantes se encuentran en el protocolo de comunicación. En el nivel más bajo, los ciberdelincuentes cambiaron el orden de la codificación y los métodos de empaquetamiento.

Viejo Hlux Nuevo Hlux
1 Blowfish con llave 1 Blowfish con nueva llave 1
2 3DES con llave 2 Descompresion con Zlib
3 Blowfish con llave 3 3DES con nueva llave 2
4 Descompresion con Zlib Blowfish con nueva llave 3

Tomado de la entrada del blog de María

Obviamente, los autores del programa malicioso cambiaron las llaves de codificación y las llaves RSA usadas para firmar partes del mensaje enviado a través de la red peer-to-peer.

Viejo Hlux Nuevo Hlux
IP del controlador Llave RSA 1 Nueva llave RSA 1
Urls ejecutadas/actualizadas 1 Llave RSA 1 Nueva llave RSA 1
Urls ejecutadas/actualizadas 2 Llave RSA 2 Nueva llave RSA 2

Tomado de la entrada del blog de María

Por último, pero no menos importante, ya no se usa el hashing de los campos de nombre de los mensajes.
También puedes ver Preguntas más frecuentes: Desactivación de la nueva red zombi Hlux/Kelihos

La nueva historia de la exitosa clausura de una red zombi – Desmantelamiento de la nueva red zombi Hlux/Kelihos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada