3. О чем будет рассказано
• Типы Sinkhole
• История становления ботнета Kelihos/Hlux
• Реализация, протокол, функционал известных
версий Kelihos/Hlux
• Kelihos.Sinkhole.A, Kelihos.Sinkhole.B
• Статистика
• ……………
13. Waledac/Iksmas и Kelihos/Hlux
• Похожий функционал
• Одна и та же архитектура
• Использование fast-flux сети на своих ботах
• Использование нескольких этапов
преобразования сообщения (сжатие,
криптование)
• Одна и та же тематика спам-писем для
первоначального распространения
14. Waledac/Iksmas и Kelihos/Hlux
Start End Disruption
Waledac Dec 2008 Feb 2010 Operation b49
(Microsoft,
Shadowserver, VeriSign)
Kelihos.A Dec 2010 Sept 2011 Operation b79
(Microsoft, KL, SurfNet,
Kyrus Tech Inc.)
Kelihos.B Sept 2011 March 2012 KL, CrowdStrike,
HoneyNet Project,
Dell SecureWorks
Kelihos.C March 2012 - -
15. Kelihos/Hlux: функционал
• Рассылка спама
• DDoS
• Кража конфигурационный файлов FTP
клиентов
• Кража Bitcoin кошелька
• Bitcoin miner
• HTTP, SOCKS5 Proxy, HTTP Server
• Сниффер для перехвата паролей от
электронной почты, FTP и HTTP сессий
• Кража адресов электронной почты
29. Kelihos/Hlux.B
• Начало Kelihos.A
Sinkhole: 26 сентября
2011
• Публичное уведомление
(блогпост): 28 сентября
2011
• Появление Kelihos.B:
28 сентября 2011
30. Kelihos/Hlux.B: протокол
Blowfish with KEY1 Blowfish with new KEY1
3DES with KEY2 Zlib Unpack
Blowfish with KEY3 Blowfish with new KEY3
Zlib Unpack 3DES with new KEY2
Kelihos.A Kelihos.B
RSA Key 1 New RSA Key 1
Controllers’ IP
Update/Exec urls1 RSA Key 1 New RSA Key 1
Update/Exec urls1 RSA Key 2 New RSA Key 2
32. Kelihos/Hlux.B: Sinkhole
Start Sinkhole: 21.03.2012
Total GUID count to 27.03.2012: 116 570 Total GUID count to 16.05.2012: 181 579
Total IP count to 27.03.2012: 352 685 Total IP count to 16.05.2012: 2 042 116
35. Kelihos/Hlux.С
• Начало Kelihos.B Sinkhole:
21 марта 2012
• Публичное уведомление
(блогпост): 28 марта 2012
• Появление Kelihos.C:
21 марта 2012
• Распространение
замечено через Facebook
• В течение месяца
устанавливал на боты
ZeroAccess
36. Kelihos/Hlux.C: протокол
Kelihos.B Kelihos.C
RSA Key1 New RSA Key1
Controllers’ IP
Update/Exec urls1 RSA Key1 New RSA Key1
Update/Exec urls1 RSA Key2 New RSA Key2
Packet decryption Blowfish Key3 New Blowfish Key3
Packet decryption Blowfish Key4 New Blowfish Key4
Packet decryption 3DES Key5 New 3DES Key5
37. Kelihos/Hlux.: fast-flux домены
Waledac Kelihos.A Kelihos.B Kelihos.C
.eu .ru
.com .com .in .com
.com
• В Waledac и Kelihos.A fast-flux домены были
отключены Microsoft
• В Kelihos.B стороннего отключения не было
39. Выводы
• В случае борьбы с P2P ботнетами
необязательно привлекать
правоохранительные органы
• Sinkhole A, Sinkhole B имел смысл
(статистика заражения, вынуждение
операторов на трату $$ за pay-per-install)
• С Sinkhole.C уже могут быть проблемы
• Без поимки преступников невозможно
препятствовать созданию нового ботнета +
всегда будет его окупаемость
До момента облавы на Waledac эта сеть рассылала от 5 до 15% мирового спама.Распространялся в емейлах с праздничной тематикой (в аттачах и через ссылки с эксплоитами)
Kyrus Tech Inc., which served as a declarant in the legal case that enabled this takedown.