Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/10/2011
Deshabiliten amb èxit la botnet Hlux/Kelihos
Els ciberdelinqüents seleccionen qualsevol domini que els resulte barat i fiable per a operar amb les bots, mentres els propietaris reaccionen davant d'aquests abusos d'una forma poc eficaç.
A principis d'aquesta setmana, Microsoft anunciava el tancament d'una botnet molt perillosa, responsable de generar missatges correu brossa, robatori d'informació financera i de promoure llocs web que amb continguts sobre explotació sexual de menors, que havia aconseguit infectar entre 42.000 i 45.000 ordinadors llançant un mitja de 4.000 milions de missatges correu brossa al dia.
Kaspersky Lab ha exercit un paper fonamental en la desarticulació d'aquesta botnet Hlux / Kelihos, i lidera el camí per a eliminar la bot, crackejant el protocol de comunicació i desenrotllant ferramentes per a atacar la infraestructura de peer-to-peer, treballant estretament amb la Unitat de Delictes de Microsoft (DCU), compartir la informació rellevant i facilitar-los l'accés al nostre sistema de seguiment de xarxes d'internet mòbils en viu.
Segons experts de Kaspersky Lab, “un dels majors problemes a què ens enfrontem és l'abús que es fa en els subdominis. Els ciberdelinqüents seleccionen qualsevol domini que els resulte barat i fiable per a operar i la majoria dels propietaris reaccionen d'una forma prou lenta davant d'aquests abusos".
Una de les claus de l'èxit de l'operació ha sigut el ‘sinkholing' de Kasperky Lab (sistema que fa que totes les comunicacions que fa el "cap" a la resta dels bots, no arriben a la seua destinació, destruint la comunicació interna i prenent el control). La botnet encara hi ha - però està sent controlada per Kaspersky Lab. “En aquest moment tenim 3.000 hosts que es connecten al nostre centre de control cada minut".
“Aquestes xarxes solen estar molt esteses i suposen un problema en augment. El major handicap ho trobem en la legislació dels diferents països en què s'allotgen les bots. Necessitem canvis legislatius que milloren la situació i que els països reforcen les seues lleis contra aquest problema de forma unificada per a afavorir que l'atac a aquests sistemes remots i la seua desarticulació de manera eficaç", apunten experts de Kaspersky Lab.
Com funciona la botnet i com s'ha dut a terme l'operació?
La botnet, que Microsoft ha denominat Kelihos i Kaspersky Hlux, és una botnet peer-to-peer amb una arquitectura semblant a la utilitzada en la botnet Waledac. Es compon de capes amb diferents tipus de nodes: els controladors, els encaminadors i els treballadors. Els controladors són màquines que operen amb els comandos dels bots i supervisen l'estructura dinàmica de la xarxa peer-to-peer. Els encaminadors s'encarreguen d'infectar equips amb adreces IP públiques. Finalment, els treballadors infecten les màquines que no poden infectar els encaminadors.
Per a accedir a més informació sobre el funcionament de la botnet www.securelist.com