Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Методы вставки палок в колеса ботмастерам:ботнет KelihosМария Гарнаева, Malware analyst, GReAT, Kaspersky Lab30.05.2012/ P...
Global Research & Analysis Team
О чем будет рассказано• Типы Sinkhole• История становления ботнета Kelihos/Hlux• Реализация, протокол, функционал известны...
Centralized vs. P2P                                                                         Botmaster            Botmaster...
Sinkhole: определение
Sinkhole: определениеSinkhole – элемент сети, на который перенаправляетсявредоносный или подозрительный трафик, «как в дыру»
DNS Sinkhole type1
DNS Sinkhole type2
DNS Sinkhole example: Shiz
P2P Sinkhole
Case study: Kelihos/Hlux и товарищи
Waledac/Iksmas
Waledac/Iksmas и Kelihos/Hlux • Похожий функционал • Одна и та же архитектура • Использование fast-flux сети на своих бота...
Waledac/Iksmas и Kelihos/Hlux             Start        End          Disruption Waledac     Dec 2008     Feb 2010     Opera...
Kelihos/Hlux: функционал• Рассылка спама• DDoS• Кража конфигурационный файлов FTP  клиентов• Кража Bitcoin кошелька• Bitco...
Kelihos/Hlux: архитектура
Kelihos/Hlux: Fast-flux сеть                               Fall-back                               channel
Kelihos/Hlux: Fast-flux сеть
Kelihos/Hlux.A: протокол                          Packet header        8 байт             8 байт          4 байт          ...
Kelihos/Hlux.A: протокол      Message Type                Description          1000             Bootstrap + peer exchange ...
Kelihos/Hlux.A: протокол               Blowfish with KEY1               3DES with KEY2                Blowfish with KEY3  ...
Kelihos/Hlux.A: протокол                                              {33: int8_t(1),            Serialized Tree          ...
Kelihos/Hlux.A: протокол1000_request {  1 => m_client_id                        Router list  3 => m_current_time          ...
Kelihos/Hlux.A: протоколe5f5620ea0d61400: {dfa5849a875d3000: [{27ba884f7079f440: int32_t(74853806),                       ...
Kelihos/Hlux.A: Sinkhole
Kelihos/Hlux.A: Sinkhole   Start Sinkhole: 26.09.2011   Total IP count from 26.09.2011 to 28.09.2011: 49 007
Kelihos/Hlux.A: Geolocation  Top: Thailand, Vietnam, India, Korea
Kelihos/Hlux.A: Securelist.com Poll
Kelihos/Hlux.B                 •   Начало Kelihos.A                     Sinkhole: 26 сентября                     2011    ...
Kelihos/Hlux.B: протокол Blowfish with KEY1                   Blowfish with new KEY1 3DES with KEY2                       ...
Kelihos/Hlux.B: Sinkholem_external_info_packed {  d => m_external_data_blob  h => m_external_data_signature  g => m_extern...
Kelihos/Hlux.B: SinkholeStart Sinkhole: 21.03.2012Total GUID count to 27.03.2012: 116 570   Total GUID count to 16.05.2012...
Kelihos/Hlux.B: Sinkhole       Top: Poland, USA, Turkey, Spain
Kelihos/Hlux.B: Sinkhole
Kelihos/Hlux.С                 •   Начало Kelihos.B Sinkhole:                     21 марта 2012                 •   Публич...
Kelihos/Hlux.C: протокол                             Kelihos.B         Kelihos.C                             RSA Key1     ...
Kelihos/Hlux.: fast-flux домены         Waledac     Kelihos.A    Kelihos.B   Kelihos.C                                    ...
Кто виноват и что делать?
Выводы• В случае борьбы с P2P ботнетами  необязательно привлекать  правоохранительные органы• Sinkhole A, Sinkhole B имел ...
Thank YouМария Гарнаева, Malware analyst, GReAT, Kaspersky Lab30.05.20112/ Positive Hack Days
Upcoming SlideShare
Loading in …5
×

Методы вставки палок в колеса ботмастерам: ботнет Kelihos

3,851 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Методы вставки палок в колеса ботмастерам: ботнет Kelihos

  1. 1. Методы вставки палок в колеса ботмастерам:ботнет KelihosМария Гарнаева, Malware analyst, GReAT, Kaspersky Lab30.05.2012/ Positive Hack Days
  2. 2. Global Research & Analysis Team
  3. 3. О чем будет рассказано• Типы Sinkhole• История становления ботнета Kelihos/Hlux• Реализация, протокол, функционал известных версий Kelihos/Hlux• Kelihos.Sinkhole.A, Kelihos.Sinkhole.B• Статистика• ……………
  4. 4. Centralized vs. P2P Botmaster Botmaster VS. C&C C&C Bot C&C Bot Bot Bot Bot BotBot Bot Bot Bot Bot Bot Bot Bot Bot Bot Bot Bot Bot
  5. 5. Sinkhole: определение
  6. 6. Sinkhole: определениеSinkhole – элемент сети, на который перенаправляетсявредоносный или подозрительный трафик, «как в дыру»
  7. 7. DNS Sinkhole type1
  8. 8. DNS Sinkhole type2
  9. 9. DNS Sinkhole example: Shiz
  10. 10. P2P Sinkhole
  11. 11. Case study: Kelihos/Hlux и товарищи
  12. 12. Waledac/Iksmas
  13. 13. Waledac/Iksmas и Kelihos/Hlux • Похожий функционал • Одна и та же архитектура • Использование fast-flux сети на своих ботах • Использование нескольких этапов преобразования сообщения (сжатие, криптование) • Одна и та же тематика спам-писем для первоначального распространения
  14. 14. Waledac/Iksmas и Kelihos/Hlux Start End Disruption Waledac Dec 2008 Feb 2010 Operation b49 (Microsoft, Shadowserver, VeriSign) Kelihos.A Dec 2010 Sept 2011 Operation b79 (Microsoft, KL, SurfNet, Kyrus Tech Inc.) Kelihos.B Sept 2011 March 2012 KL, CrowdStrike, HoneyNet Project, Dell SecureWorks Kelihos.C March 2012 - -
  15. 15. Kelihos/Hlux: функционал• Рассылка спама• DDoS• Кража конфигурационный файлов FTP клиентов• Кража Bitcoin кошелька• Bitcoin miner• HTTP, SOCKS5 Proxy, HTTP Server• Сниффер для перехвата паролей от электронной почты, FTP и HTTP сессий• Кража адресов электронной почты
  16. 16. Kelihos/Hlux: архитектура
  17. 17. Kelihos/Hlux: Fast-flux сеть Fall-back channel
  18. 18. Kelihos/Hlux: Fast-flux сеть
  19. 19. Kelihos/Hlux.A: протокол Packet header 8 байт 8 байт 4 байт 4 байт Signature f1(Timestamp) f2(DataSize, f3(f2, DataType, Timestamp, TimeStamp, Signature) Signature) 4 байт 4 байт 4 байт f4(Payload_offset, 0 Random(time) datasize)
  20. 20. Kelihos/Hlux.A: протокол Message Type Description 1000 Bootstrap + peer exchange 1001 Push encrypted signed data 1002 Get job task + Encrypted signed tasks + send reports 1003 Ping 1004 Request peers 1005 Get job task + send reports
  21. 21. Kelihos/Hlux.A: протокол Blowfish with KEY1 3DES with KEY2 Blowfish with KEY3 Zlib Unpack
  22. 22. Kelihos/Hlux.A: протокол {33: int8_t(1), Serialized Tree 48: , ll: , si: int32_t(982259673), u: {34: {r: int8_t(224), y: int64_t(10)}, 65: {b: int32_t(3600), h: int64_t(1294351260)}, b3: {65: {7: [{d: [Werken met betalingen, Werken voor een grote luchtvaartmaatschappij, Manager Klantenservice, Manager-beheerder, bewindvoerder, beheerder, Rekenin g Beheerder,Types: tree, array of trees, blob, array ofblobs, String, primitive
  23. 23. Kelihos/Hlux.A: протокол1000_request { 1 => m_client_id Router list 3 => m_current_time m_clients_list { 4 => m_live_time b => m_ip 5 => m_bootstrap_list d => m_listening_port y => m_ip .... g => m_last_active_time s => m_listenning_port p => m_client_id v => m_real_target_ip x => m_live_time vf => m_external_info_packed } jj => m_version}1000_response { Controller list 5 => m_success y => m_current_time job_server { r => m_live_time 2 => m_ip h => m_real_initiator_ip .... 6 => m_listening_port f => m_bootstrap_list } v => m_external_info_packed}
  24. 24. Kelihos/Hlux.A: протоколe5f5620ea0d61400: {dfa5849a875d3000: [{27ba884f7079f440: int32_t(74853806), 840a175501af5c00: int64_t(0), 9e1851866c2e0000: int64_t(0), d76722b4e3469800: int32_t(80), f74fb6b49e16a900: {00000000-0000-0000-0000-000000000000}},5: {a: int32_t(1241740), j: [{b: int32_t(59383998), d: int32_t(80), g: int64_t(0), p: {00000000-0000-0000-0000-000000000000}, x: int64_t(0)},
  25. 25. Kelihos/Hlux.A: Sinkhole
  26. 26. Kelihos/Hlux.A: Sinkhole Start Sinkhole: 26.09.2011 Total IP count from 26.09.2011 to 28.09.2011: 49 007
  27. 27. Kelihos/Hlux.A: Geolocation Top: Thailand, Vietnam, India, Korea
  28. 28. Kelihos/Hlux.A: Securelist.com Poll
  29. 29. Kelihos/Hlux.B • Начало Kelihos.A Sinkhole: 26 сентября 2011 • Публичное уведомление (блогпост): 28 сентября 2011 • Появление Kelihos.B: 28 сентября 2011
  30. 30. Kelihos/Hlux.B: протокол Blowfish with KEY1 Blowfish with new KEY1 3DES with KEY2 Zlib Unpack Blowfish with KEY3 Blowfish with new KEY3 Zlib Unpack 3DES with new KEY2 Kelihos.A Kelihos.B RSA Key 1 New RSA Key 1 Controllers’ IP Update/Exec urls1 RSA Key 1 New RSA Key 1 Update/Exec urls1 RSA Key 2 New RSA Key 2
  31. 31. Kelihos/Hlux.B: Sinkholem_external_info_packed { d => m_external_data_blob h => m_external_data_signature g => m_external_info_id(uint64)  timestamp m_external_info_id=0xffffffffffffffff} m_external_info { 2 => []m_job_servers 7 => m_list_id (uint64)  timestamp m_list_id=0xffffffffffffffff }
  32. 32. Kelihos/Hlux.B: SinkholeStart Sinkhole: 21.03.2012Total GUID count to 27.03.2012: 116 570 Total GUID count to 16.05.2012: 181 579Total IP count to 27.03.2012: 352 685 Total IP count to 16.05.2012: 2 042 116
  33. 33. Kelihos/Hlux.B: Sinkhole Top: Poland, USA, Turkey, Spain
  34. 34. Kelihos/Hlux.B: Sinkhole
  35. 35. Kelihos/Hlux.С • Начало Kelihos.B Sinkhole: 21 марта 2012 • Публичное уведомление (блогпост): 28 марта 2012 • Появление Kelihos.C: 21 марта 2012 • Распространение замечено через Facebook • В течение месяца устанавливал на боты ZeroAccess
  36. 36. Kelihos/Hlux.C: протокол Kelihos.B Kelihos.C RSA Key1 New RSA Key1 Controllers’ IP Update/Exec urls1 RSA Key1 New RSA Key1 Update/Exec urls1 RSA Key2 New RSA Key2 Packet decryption Blowfish Key3 New Blowfish Key3 Packet decryption Blowfish Key4 New Blowfish Key4 Packet decryption 3DES Key5 New 3DES Key5
  37. 37. Kelihos/Hlux.: fast-flux домены Waledac Kelihos.A Kelihos.B Kelihos.C .eu .ru .com .com .in .com .com • В Waledac и Kelihos.A fast-flux домены были отключены Microsoft • В Kelihos.B стороннего отключения не было
  38. 38. Кто виноват и что делать?
  39. 39. Выводы• В случае борьбы с P2P ботнетами необязательно привлекать правоохранительные органы• Sinkhole A, Sinkhole B имел смысл (статистика заражения, вынуждение операторов на трату $$ за pay-per-install)• С Sinkhole.C уже могут быть проблемы• Без поимки преступников невозможно препятствовать созданию нового ботнета + всегда будет его окупаемость
  40. 40. Thank YouМария Гарнаева, Malware analyst, GReAT, Kaspersky Lab30.05.20112/ Positive Hack Days

×