Autores
El pasado septiembre, en colaboración con Microsoft’s Digital Crimes Unit (DCU), SurfNET y Kyrus Tech, Inc., Kaspersky Lab desactivó con éxito la peligrosa red zombi Hlux/Kelihos drenando los equipos infectados hacia un host bajo nuestro control.
Pocos meses después, nuestros investigadores se toparon con otra versión del programa malicioso con importantes cambios en el protocolo de comunicación y nuevas “funciones”, como la infección de unidades de memoria portátil flash-drive y el robo de monederos bitcoin-mining.
Ahora, nos complace anunciar que estamos trabajando junto a CrowdStrike Intelligence Team, Honeynet Project y Dell SecureWorks para desactivar esta nueva red zombi.
La semana pasada, establecimos ordenadores distribuidos por todo el mundo para esta operación de drenaje, y el miércoles 21 de marzo, comenzamos por fin la propagación sincronizada de nuestra dirección IP de drenaje a la red peer-to-peer.
Poco después, aumentó la “popularidad” de nuestra máquina de drenaje en la red, lo que significa que gran parte de la red zombi sólo se comunica con una dirección bajo nuestro control:
Cantidad de bots únicos después de 24 horas
También distribuimos una lista de servidores de trabajo cuidadosamente elaborada. Esto evita que los bots hagan peticiones de nuevos comandos a los ciberdelincuentes que controlan la red. En este momento los bots ya no están bajo su control.
Sin embargo, a las pocas horas de haber comenzado nuestra operación de neutralización, los ciberdelincuentes dueños de la red zombi intentaron tomar contramedidas lanzando una nueva versión de su bot. También notamos que estos ciberpiratas detuvieron el envío de spam y ataques DDoS desde su red. Asimismo, la lista fast-flux-nerwork de la red zombi sigue vacía desde hace unas horas.
Ahora, después de seis días, contamos con más de 116.000 bots conectados a nuestro drenaje.
Cantidad de bots únicos después de 6 días
Esta es una imagen de las versiones de sistemas operativos:
Versiones de sistemas operativos
La mayoría de los bots se encuentran en Polonia y en EE.UU.:
Países con nuevas infecciones Hlux/Kelihos
ANTECEDENTES
Para el nuevo bloqueo, los cambios más importantes se encuentran en el protocolo de comunicación. En el nivel más bajo, los ciberdelincuentes cambiaron el orden de la codificación y los métodos de empaquetamiento.
| № | Viejo Hlux | Nuevo Hlux |
| 1 | Blowfish con llave 1 | Blowfish con nueva llave 1 |
| 2 | 3DES con llave 2 | Descompresion con Zlib |
| 3 | Blowfish con llave 3 | 3DES con nueva llave 2 |
| 4 | Descompresion con Zlib | Blowfish con nueva llave 3 |
Tomado de la entrada del blog de María
Obviamente, los autores del programa malicioso cambiaron las llaves de codificación y las llaves RSA usadas para firmar partes del mensaje enviado a través de la red peer-to-peer.
| Viejo Hlux | Nuevo Hlux | |
| IP del controlador | Llave RSA 1 | Nueva llave RSA 1 |
| Urls ejecutadas/actualizadas 1 | Llave RSA 1 | Nueva llave RSA 1 |
| Urls ejecutadas/actualizadas 2 | Llave RSA 2 | Nueva llave RSA 2 |
Tomado de la entrada del blog de María
Por último, pero no menos importante, ya no se usa el hashing de los campos de nombre de los mensajes.
También puedes ver Preguntas más frecuentes: Desactivación de la nueva red zombi Hlux/Kelihos
Autores
De los mismos autores
En la misma categoría
La nueva historia de la exitosa clausura de una red zombi – Desmantelamiento de la nueva red zombi Hlux/Kelihos