Wie Kaspersky Lab und CrowdStrike das zweite Hlux/Kelihos-Botnetz zerschlagen haben

29. März 2012
Viren-News

Kaspersky Lab hat gemeinsam mit dem CrowdStrike Intelligence Team, Dell SecureWorks und Mitgliedern des Honeynet Project das zweite Hlux-Botnetz, auch unter dem Namen Kelihos bekannt, erfolgreich vom Netz genommen. Das Botnetz war fast dreimal so groß wie sein Vorgänger, der Ende September 2011 abgeschaltet werden konnte. Innerhalb von fünf Tagen nach Beginn der Botnetz-Zerschlagung konnte Kaspersky Lab insgesamt 109.000 infizierte Hosts neutralisieren. Das erste Hlux/Kelihos-Botnetz bestand am Ende lediglich aus 40.000 infizierten Systemen.

Im September 2011 arbeitete Kaspersky Lab erfolgreich mit der Digital Crimes Unit von Microsoft, SurfNet und Kyrus Tech zusammen und konnte das erste Hlux/Kelihos-Botnetz außer Betrieb setzen [1]. Dabei wurde durch eine so genannte Sinkhole-Operation das Botnetz untergraben und seine Backup-Infrastruktur der Command-and-Control-Server (C&C) abgeschaltet. Trotz der Zerschlagung des Botnetzes entdeckten die Kaspersky-Experten im Januar 2012 ein zweites Hlux/Kelihos-Netz das in „freier Wildbahn“ aktiv war [2]. Obwohl das Zombienetz neu war, wurde der selbe Code wie beim ersten Hlux/Kelihos-Netz verwendet. Allerdings zeigte die neu entdeckte Malware, dass der aktuelle Hlux-Zombie eine Reihe unbekannter Updates zur Verfügung stellte, inklusive Infizierungsmethoden und Bitcoin-Features für Mining und Wallet-Theft [3]. Wie beim Original-Botnetz wurde das illegale Netzwerk für Spam-Versand, den Diebstahl persönlicher Daten sowie für gezielte DDoS-Attacken missbraucht.

Wie das zweite Hlux/Kelihos-Botnetz gekapert wurde

In der Woche vom 19. März 2012 starteten Kaspersky Lab, das CrowdStrike Intelligence Team, Dell SecureWorks und das Honeynet Project eine Sinkholing-Operation, bei der das zweite Hlux/Kelihos-Botnetz erfolgreich untergraben und vom Netz genommen wurde. Beide Zombienetze waren gefährliche Peer-to-Peer-Botnetze. Dies bedeutet, dass jeder Bestandteil des Netzes als Server und/oder Client agieren kann, traditionelle Botnetze werden meist über einen zentralen Command-and-Control-Server gesteuert. Um das flexible Peer-to-Peer-Botnetz zu neutralisieren, entwickelten die Sicherheitsexperten ein globales Netzwerk, das in die Botnetzinfrastruktur eingeschleust wurde. Nach kurzer Zeit wurde das Sinkhole-Botnetz innerhalb Hlux zunehmend mächtiger. Kaspersky Lab konnte immer mehr infizierte Maschinen kontrollieren und so verhindern, dass die schädlichen Bot-Operatoren Zugang zu den infizierten Rechnern erhielten. Je mehr infizierte Computer neutralisiert wurden, desto mehr konnte die Botnetz-Infrastruktur über die Peer-to-Peer-Architektur untergraben werden, der Einfluss von Hlux auf die infizierten Maschinen ging mit jedem neutralisierten Computer stetig verloren.

Mit der Sinkholing-Operation konnte das Hlux/Kelihos-Botnetz schließlich außer Gefecht gesetzt werden. Da die Mehrheit der Bots mit dem Sinkhole-Netz verbunden ist, können die Kaspersky-Experten Daten zur Zahl der infizierten Rechner und deren lokaler Herkunft erheben. Aktuell zählt das zweite Hlux/Kelihos-Botnetz 109.000 infizierte IP-Adressen, die meisten davon stammen aus Polen.

Weitere Informationen zu Thema sind unter www.securelist.com verfügbar.

Kaspersky Lab dankt dem CrowdStrike Intelligence Team, Dell SecureWorks und dem Honeynet Project für die Unterstützung der Operation.


[1] siehe http://newsroom.kaspersky.eu/de
[2] siehe https://www.securelist.com
[3] siehe: https://www.securelist.com

Für Journalisten und Redakteure hat Kaspersky Lab einen Newsroom eingerichtet. Unter http://newsroom.kaspersky.eu finden Sie alle aktuellen Unternehmens- und Hintergrundinformationen inklusive Audio-, Video- und Bilddateien.

 Share this page