Очередное исследование ботнета Kelihos/Hlux


KasperskyLabsЛаборатория Касперского провела очередное исследование ботнета Hlux (Kelihos), в результате которого удалось установить, что на сегодняшний день в него входят порядка 1 тыс. активных пиров (IP-адресов). При этом большинство зараженных машин работают под управлением ОС Windows XP, к тому же половина из них имеет польскую прописку. Оценка была произведена по результатам мониторинга подключений к sinkhole-серверу "Лаборатории", внедренному в бот-сеть в марте прошлого года.

Статистика показывает, что размеры Kelihos уже к июлю 2012 года резко сократились, т.к. пользователи зараженных устройств постепенно либо вылечивали свои компьютеры, либо переустанавливали ОС. Так в настоящее время ежемесячно специалистами фиксируется около 1000 уникальных ботов, что на порядок ниже, чем в аналогичный период 2011 года.

Если отталкиваться от цифр, то в настоящее время работают:

  • под Windows XP - более 86% активных ботов;
  • под Windows Server 2008 - около 15%


Заражения данным вредоносом зафиксированы в 88 странах, при этом лидером стала Польша - 44%.

Заметно сократился поток нелегитимных сообщений генерируемых Hlux. Так по статистике Trustwave, на долю Hlux приходилось:

  • в мае - около 60% почтового мусора;
  • в июле – 17%;
  • в начале ноября - 7,6%.

Интересно, что Hlux уже несколько раз пытались свергнуть, однако каждый раз он восстанавливался. Так в 2011 году корпорацией Microsoft, совместно с Лабораторией Касперского и Kyrus Tech, была проведена такая акция с применением sinkholing. В результате владельцы бота сразу же начали строить новую сеть, оставив прежнюю в "подарок" исследователям. На следующий год подобная акция была проведена Лабораторией Касперского совместно с CrowdStrike, the Honeynet Project и Dell SecureWorks, однако уже против Hlux-2. И уже через 20 минут после перехвата контроля над бот-сетью появился Hlux-3.

В 2013 году попытался нейтрализовать Hlux вживую на конференции RSA Вернер Тиллман (Tillmann Werner) из CrowdStrike. На тот момент зловред помимо рассылки спама, уже был способен похищать все, что может представлять интерес для киберпреступников. Затем, минувшим летом некоммерческая организация Malware Must Die смогла нейтрализовать 97 доменов, задействованных в схеме распространения Hlux, точнее, его DGA-версии. И спустя всего лишь месяц зловред начал использовать общедоступные черные списки для проверки репутации своих IP-адресов.

Все эти факты свидетельствуют о том, что владельцы Hlux стремятся всеми силами удержать ботнет на плаву, и что от них в будущем еще стоит ожидать сюрпризы.


Обновлено (21.11.2013 15:52)