«Лаборатория Касперского» объявила о том, что ей снова пришлось повоевать с ботнетом Kelihos. В сентябре прошлого года Microsoft, «Лаборатория Касперского» и несколько их партнёров нанесли, казалось бы, фатальный удар по спамерскому ботнету Kelihos, но вскоре обнаружилась новая сеть, в основе которой лежала новая версия «бота» Kelihos (он же Khelios, он же Hlux) с новой функциональностью.
В целом бот Kelihos, по сведениям «Лаборатории Касперского», обладает следующими функциями:
- Бот умеет заражать флешки, создавая на них файлы «Copy of Shortcut to google.lnk» а ля Stuxnet.
- Бот умеет искать конфигурационные файлы для множества FTP-клиентов и передавать их на серверы управления.
- В боте встроен функционал кражи Bitcoin кошелька.
- В боте встроен функционал Bitcoin miner’a.
- Бот умеет работать в режиме прокси-сервера.
- Бот ищет на диске файлы, содержащие адреса электронной почты.
- Бот имеет сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий.
Самое же неприятное, что этот ботнет работает по p2p-принципу. То есть у него нет центрального контрольного сервера (или серверов), захватив который (как Microsoft и её партнёры поступали в случаях с Rustock и Zeus), можно было нейтрализовать весь ботнет разом.
В случае с Kelihos/Khelios/Hlux процедура выглядела иначе: ботнеты попросту угнали у их владельцев.
В то время как p2p-ботнет невозможно «обезглавить» захватом нескольких серверов, у него тоже есть слабое место: если удаётся расшифровать протокол, с помощью которого осуществляется обмен данными в ботнете, то можно внедрить в ботнет фальшивый управляющий центр. Или даже целое множество таковых:
В течение недели, начиная с 19 марта 2012 года, «Лаборатория Касперского», команда CrowdStrike Intelligence, Honeynet Project и Dell SecureWorks проводили операцию по внедрению sinkhole-маршрутизатора, в ходе которой ботнет был успешно обезврежен. В отличие от традиционных ботнетов, которые для управления сетью используют один командный сервер (C&C), Hlux/Kelihos имеет пиринговую архитектуру, которая подразумевает, что каждый компьютер может выступать в качестве как сервера, так и клиента. Для нейтрализации подобной схемы группой экспертов по безопасности была создана глобальная распределённая сеть, состоящая из компьютеров, которые были внедрены в инфраструктуру ботнета. Вскоре эта сеть стала настолько масштабной, что «Лаборатория Касперского» смогла нейтрализовать действие ботов, предотвратив возможность получения ими вредоносных команд.
В результате у владельца(-ев) Kelihos ботнет в буквальном смысле отобрали, причём уже второй раз подряд. Выяснилось, что большинство из 116 тысяч заражённых этой версией бота Kelihos машин располагается в Польше и США. И опять-таки почти все они без исключения работают под управлением Windows XP.
К сожалению, похоже, сразу после ликвидации этого ботнета его бывшие владельцы приступили к формированию нового: новая версия (условно именуемая Kelihos.C) распространяется через Facebook.