Awal pekan ini, Microsoft merilis sebuah pengumuman tentang gangguan dari sebuah botnet berbahaya yang bertanggung jawab untuk pesan spam, pencurian informasi keuangan yang sensitif, pompa-dan-dump penipuan saham dan didistribusikan penolakan-dari-serangan layanan.
Kaspersky Lab memainkan peran penting dalam inisiatif penurunan yang botnet, memimpin cara untuk membalikkan-insinyur malware bot, crack protokol komunikasi dan mengembangkan alat untuk menyerang infrastruktur peer-to-peer. Kami bekerja sama dengan Unit Kejahatan Digital Microsoft (DCU), berbagi informasi yang relevan dan menyediakan mereka dengan akses ke sistem pelacakan hidup kita botnet.
Bagian penting dari upaya ini adalah sinkholing dari botnet. Sangat penting untuk memahami bahwa botnet masih ada - tapi itu dikendalikan oleh Kaspersky Lab. Seiring dengan langkah Microsoft untuk sistem pengadilan AS untuk menonaktifkan domain, kami mulai sinkhole botnet. Saat ini kami memiliki 3.000 host menghubungkan ke lubang kami setiap menit. Posting ini menggambarkan inner botnet dan pekerjaan yang kita lakukan untuk mencegah dari operasi lebih lanjut.
Mari kita mulai dengan beberapa latar belakang teknis: Kelihos adalah nama Microsoft untuk apa Kaspersky panggilan Hlux. Hlux adalah botnet peer-to-peer dengan arsitektur mirip dengan yang digunakan untuk botnet Waledac .
Ini terdiri dari lapisan-lapisan dari berbagai jenis node: controller, router dan pekerja. Controller adalah mesin mungkin dioperasikan oleh geng belakang botnet. Mereka mendistribusikan perintah ke bot dan mengawasi struktur dinamis jaringan peer-to-peer.
Router terinfeksi mesin dengan alamat IP publik. Mereka menjalankan bot di modus router, host layanan proxy, berpartisipasi dalam sebuah kolektif cepat fluks, dan sebagainya.
Akhirnya, para pekerja yang terinfeksi mesin yang tidak berjalan dalam mode router, cukup cantumkan. Mereka digunakan untuk mengirimkan spam, mengumpulkan alamat email, mengendus kredensial pengguna dari aliran jaringan, dll sketsa arsitektur berlapis yang ditunjukkan di bawah dengan tingkat atas empat pengendali dan node pekerja ditampilkan dalam hijau.
ATAS: Arsitektur botnet Hlux
Pekerja node
Banyak komputer yang dapat terinfeksi dengan malware tidak memiliki koneksi langsung ke internet. Mereka tersembunyi di balik gateway, proxy atau perangkat yang melakukan terjemahan alamat jaringan. Akibatnya, mesin ini tidak dapat diakses dari luar kecuali langkah-langkah teknis khusus yang diambil.Ini adalah masalah bagi bot yang mengatur mesin yang terinfeksi dalam peer-to-peer seperti yang memerlukan layanan hosting yang komputer lain dapat terhubung ke. Di sisi lain, mesin ini memberikan banyak daya komputasi dan bandwidth jaringan.
Sebuah mesin yang menjalankan bot Hlux akan memeriksa apakah itu dapat dicapai dari luar dan jika tidak, menempatkan dirinya dalam modus pekerja operasi. Pekerja mempertahankan daftar rekan-rekan (mesin yang terinfeksi lainnya dengan alamat IP publik) dan pekerjaan permintaan dari mereka. Pekerjaan berisi hal-hal seperti instruksi untuk mengirimkan spam atau untuk berpartisipasi dalam penolakan-dari-serangan layanan. Hal ini juga dapat memberitahu bot untuk men-download update dan mengganti sendiri dengan versi baru.
Node router
Router membentuk semacam lapisan tulang punggung dalam botnet Hlux. Setiap router menyimpan daftar rekan yang berisi informasi tentang rekan-rekan lainnya, seperti node pekerja. Pada saat yang sama, setiap router bertindak sebagai proxy HTTP yang masuk terowongan koneksi ke salah satu Controller. Router juga dapat melakukan pekerjaan, tetapi tujuan utama mereka adalah untuk memberikan lapisan proxy di depan pengendali.Controller
Node controller lapisan yang terlihat atas botnet. Controller host server nginx HTTP dan melayani pesan pekerjaan. Mereka tidak mengambil bagian dalam jaringan peer-to-peer dan dengan demikian tidak pernah muncul dalam daftar rekan. Biasanya ada enam dari mereka, menyebar berpasangan atas rentang IP yang berbeda di negara yang berbeda.Setiap dua alamat IP dari sebuah pasangan berbagi SSH RSA kunci, sehingga kemungkinan bahwa ada benar-benar hanya satu kotak di belakang alamat masing-masing pasangan. Dari waktu ke waktu beberapa pengendali diganti dengan yang baru. Tepat sebelum botnet itu dibawa keluar, daftar berisi entri berikut:
193.105.134.189
193.105.134.190
195.88.191.55
195.88.191.57
89.46.251.158
89.46.251.160
Jaringan peer-to-peer
Setiap bot terus hingga 500 catatan rekan dalam daftar rekan lokal. Daftar ini disimpan dalam registri Windows bawah HKEY_CURRENT_USER \ Software \ Google bersama dengan rincian konfigurasi lainnya. Ketika bot dimulai pada mesin yang baru terinfeksi untuk pertama kalinya, ia menginisialisasi daftar dengan beberapa rekan-nya keras-kode alamat yang terkandung dalam executable.Versi bot terbaru datang dengan total 176 entri. Daftar rekan lokal diperbarui dengan informasi yang diterima rekan dari host lain. Setiap kali bot menghubungkan ke node router, ia akan mengirimkan hingga 250 entri dari daftar rekan saat ini, dan rekan terpencil mengirim 250 entri kembali. Dengan melakukan pertukaran daftar rekan, alamat dari node router aktif yang disebarkan di seluruh botnet. Sebuah catatan rekan menyimpan informasi yang ditampilkan dalam contoh berikut:
m_ip: 41.212.81.2
m_live_time: 22639 detik
m_last_active_time: 2011/09/08 11:24:26 GMT
m_listening_port: 80
m_client_id: cbd47c00-f240-4c2b-9131-ceea5f4b7f67
Arsitektur peer-to-peer dilaksanakan oleh Hlux memiliki keuntungan menjadi sangat tahan terhadap upaya pencopotan. Struktur dinamis memungkinkan untuk reaksi cepat jika penyimpangan yang diamati. Ketika bot ingin meminta pekerjaan, tidak pernah terhubung langsung ke controller, tidak peduli apakah itu berjalan dalam modus pekerja atau router. Permintaan pekerjaan adalah selalu dikirim melalui router node lain. Jadi, bahkan jika semua node kontroler pergi off-line, lapisan peer-to-peer tetap hidup dan menyediakan sarana untuk mengumumkan dan menyebarkan satu set baru kontroler.
Jaringan pelayanan yang cepat-fluks
Botnet juga melayani beberapa Hlux cepat fluks domain yang diumumkan dalam sistem nama domain dengan nilai TTL 0 untuk mencegah caching. Sebuah query untuk salah satu domain mengembalikan alamat IP tunggal yang dimiliki ke mesin yang terinfeksi.Cepat-fluks domain menyediakan saluran jatuh-kembali yang dapat digunakan oleh bot untuk mengakses kembali botnet jika semua rekan-rekan dalam daftar lokal mereka yang terjangkau. Setiap versi berisi bot keras-kode individu jatuh kembali domain.
Microsoft tidak terdaftar ini domain dan efektif dinonaktifkan saluran jatuh-kembali. Berikut adalah himpunan nama DNS yang aktif sebelum takedown - dalam kasus Anda ingin mengawasi DNS resolver Anda. Jika Anda melihat mesin meminta salah satu dari mereka, mereka mungkin terinfeksi dengan Hlux dan harus diurus.
hellohello123.com
magdali.com
restonal.com
editial.com
gratima.com
partric.com
wargalo.com
wormetal.com
bevvyky.com
earplat.com
metapli.com
Botnet lebih lanjut digunakan ratusan sub-domain dari ce.ms dan cz.cc yang dapat didaftarkan tanpa biaya. Tapi ini hanya digunakan untuk mendistribusikan update dan bukan sebagai link cadangan untuk botnet.
Counteractions
Sebuah bot yang dapat bergabung dengan jaringan peer-to-peer tidak akan pernah menyelesaikan salah satu jatuh kembali domain - tidak perlu. Bahkan, kami memantau botnet belum login upaya tunggal untuk mengakses saluran cadangan selama tujuh bulan itu dioperasikan sebagai setidaknya satu rekan lainnya selalu terjangkau.Komunikasi untuk bootstrap dan menerima perintah menggunakan protokol kustom khusus yang menerapkan format pesan terstruktur, enkripsi, kompresi dan serialisasi. Kode bot termasuk operator protokol untuk pesan rute masuk (bootstrap pesan, pekerjaan, SOCKS komunikasi) dengan fungsi yang sesuai sementara melayani segala sesuatu pada sebuah port tunggal.
Kami reverse engineered protokol ini dan menciptakan beberapa alat untuk lalu lintas botnet decoding. Mampu melacak bootstrap dan pesan pekerjaan untuk mesin yang terinfeksi sengaja memberikan pandangan tentang apa yang terjadi dengan botnet, ketika pembaruan didistribusikan, perubahan arsitektur apa yang dilakukan dan juga untuk beberapa memperpanjang berapa banyak mesin yang terinfeksi berpartisipasi dalam botnet.
ATAS: Hit pada lubang per menit
Senin ini, kami mulai menyebarkan alamat rekan khusus. Sangat segera, alamat ini menjadi yang paling lazim dalam botnet, sehingga bot berbicara dengan komputer kita, dan untuk komputer kita saja. Para ahli menyebutnya seperti sinkholing aksi - bots berkomunikasi dengan sinkhole bukan kontroler sebenarnya.
Pada saat yang sama, kami membagikan daftar dari server-server khusus dibuat untuk menggantikan pekerjaan yang asli dengan alamat yang disebutkan sebelum dan mencegah bot dari meminta perintah. Dari titik ini, botnet tidak dapat diperintahkan lagi. Dan karena kita memiliki bot berkomunikasi dengan mesin kita sekarang, kita dapat melakukan beberapa data infeksi pertambangan dan melacak per negara, misalnya. Sejauh ini, kami telah menghitung 49.007 alamat IP yang berbeda. Kaspersky bekerja dengan penyedia layanan Internet untuk menginformasikan pemilik jaringan tentang infeksi.
ATAS: Sinkholed alamat IP per negara
Apa sekarang?
Pertanyaan utama sekarang adalah: apa yang berikutnya? Kita jelas tidak bisa ambles Hlux selamanya. Langkah-langkah saat ini solusi sementara, tetapi mereka akhirnya tidak menyelesaikan masalah, karena satu-satunya solusi nyata akan menjadi pembersihan dari mesin yang terinfeksi.Kami berharap bahwa jumlah mesin memukul sinkhole kita perlahan-lahan akan menurunkan dari waktu ke waktu sebagai komputer mendapatkan dibersihkan dan diinstal ulang. Microsoft mengatakan Malware Pusat Perlindungan mereka telah menambahkan bot untuk Removal Tool Perangkat Lunak mereka. Mengingat penyebaran alat mereka ini harus memiliki dampak langsung pada nomor infeksi. Namun, dalam 16 jam terakhir kita masih mengamati 22.693 alamat IP yang unik. Kami berharap bahwa jumlah ini akan menjadi jauh lebih rendah segera.
Menariknya, ada satu pilihan teori lain untuk akhirnya menyingkirkan Hlux: kita tahu bagaimana proses update bot bekerja. Kita bisa menggunakan pengetahuan ini dan memperbarui masalah kita sendiri yang menghilangkan infeksi dan berakhir sendiri. Namun, ini akan ilegal di kebanyakan negara dan dengan demikian akan tetap teori.
0 komentar:
Posting Komentar
terimakasih telah memberikan saran kepada kami.