Hoe Kaspersky Lab en CrowdStrike het tweede Hlux/Kelihos-botnet ontmantelden: een succesverhaal

29 mrt 2012
Virus News

In hun niet aflatende strijd tegen botnet-exploitanten en cybercriminaliteit hebben de experts van Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project met succes samengewerkt aan de ontmanteling van het tweede Hlux-botnet (ook wel Kelihos-botnet genoemd). Dit botnet was bijna drie keer zo groot als het oorspronkelijke Hlux/Kelihos-botnet dat in september 2011 onschadelijk werd gemaakt. Kaspersky Lab slaagde erin om in slechts vijf dagen tijd meer dan 109.000 geïnfecteerde hosts te neutraliseren. Het eerste Hlux/Kelihos-botnet omvatte naar schatting slechts 40.000 geïnfecteerde systemen.


Het eerste Hlux/Kelihos-botnet

Dit is niet de eerste keer dat Kaspersky Lab op versies van het Hlux/Kelihos-botnet stuit. In September 2011 werkte Kaspersky Lab met SurfNet, Kyrus Tech Inc. en de Digital Crimes Unit van Microsoft met succes samen aan de ontmanteling van het oorspronkelijke Hlux/Kelihos-botnet. Voor dat doel voerde Kaspersky een 'sinkhole'-procedure uit om het botnet en de reserve infrastructuur van zijn Command & Control -server (C&C) uit te schakelen.


Ondanks het feit dat het oorspronkelijke botnet was geneutraliseerd en onder controle was gebracht, publiceerden de experts van Kaspersky Lab in januari 2012 nieuwe onderzoeksresultaten waaruit bleek dat er een tweede Hlux/Kelihos-botnet actief was. Hoewel het om een nieuw botnet ging, was de malware die het gebruikte gebaseerd op dezelfde code als die van het oorspronkelijke Hlux/Kelihos-botnet. Uit de nieuwe malware bleek dat er bij het tweede botnet sprake was van enkele verbeteringen , waaronder nieuwe infectiemethoden en Bitcoin-functies voor het stelen van gegevens en digitaal geld. Net als het oorspronkelijke botnet maakte deze versie gebruik van een netwerk van geïnfecteerde computers om spam te verzenden, persoonlijke gegevens te stelen en gedistribueerde denial of service (DDoS)-aanvallen uit te voeren op specifieke doelwitten.


Hoe het tweede Hlux/Kelihos-botnet werd uitgeschakeld

In de week van 19 maart van 2012 voerden Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en het Honeynet Project een sinkhole-operatie uit, waardoor het botnet met succes werd uitgeschakeld. Beide versies van het Hlux/Kelihos-botnet waren peer-to-peer (P2P)-botnets. Dit houdt in dat alle computers binnen het botnet netwerk als server en/of client kunnen fungeren, in tegenstelling tot traditionele botnets die gebruikmaken van één C&C-server. Om dit flexibele P2P-botnet te neutraliseren creëerde de groep van beveiligingsexperts een wereldwijd netwerk van computers die de infrastructuur van het botnet infiltreerden. Na een korte periode slaagde dit sinkhole-netwerk erin om zijn 'populariteit' binnen het botnet te vergroten, waardoor er steeds meer geïnfecteerde computers onder de controle van Kaspersky Lab kwamen. Hierdoor konden de criminele exploitanten van het botnet de computers niet langer bereiken. Naarmate er meer geïnfecteerde machines worden geneutraliseerd, zorgt de P2P-architectuur ervoor dat de infrastructuur van het botnet als het ware inzinkt: zijn kracht neemt exponentieel af naarmate het de controle over steeds meer computers verliest.


Sinds start van de sinkhole-operatie op 19 maart is het botnet niet langer bruikbaar. Aangezien de meerderheid van de computers binnen het botnet met het sinkhole-netwerk verbonden zijn, kunnen de experts van Kaspersky Lab met behulp van data mining het aantal infecties en de geografische locatie van de geïnfecteerde computers bepalen.


Tot dusver heeft Kaspersky Lab 109.000 geïnfecteerde IP-adressen geteld. De meerderheid van deze IP-adressen bevindt zich in Polen.


Een volledige analyse van deze ontmantelingoperatie is te vinden op Securelist


Kaspersky Lab wil het CrowdStrike Intelligence Team, Dell SecureWorks en het Honeynet Project graag van harte bedanken voor hun steun tijdens deze operatie.

© 1997 – 2014 Kaspersky Lab ZAO

All Rights Reserved. Industry-leading Antivirus Software