neotrance 827 Опубликовано 30 марта, 2012 Share Опубликовано 30 марта, 2012 «Лаборатория Касперского» обезвредила второй ботнет Hlux/Kelihos «Лаборатория Касперского» совместно с CrowdStrike Intelligence Team, Honeynet Project и Dell SecureWorks объявила о проведении операции по отключению второго ботнета Hlux (также известного как Kelihos). За шесть дней эксперты обезвредили бот-сеть, в состав которой входило более 116 000 зараженных компьютеров. Отмечается, что «Лаборатория Касперского» уже во второй раз вступает в схватку с модификацией ботнета Hlux/Kelihos. В сентябре прошлого года ей совместно с отделом компании Misrosoft по борьбе с киберпреступностью и компаниями Surf Net и Kyrus Tech удалось отключить первый ботнет Hlux/Kelihos, в состав которого входило порядка 40 000 хостов. В тот раз «Лаборатория Касперского» провела операцию по внедрению sinkhole-маршрутизатора, в ходе которой ботнет и его резервная инфраструктура были отключены от командного сервера. Несмотря на нейтрализацию первого ботнета и установление контроля над ним, эксперты «Лаборатории Касперского» обнаружили следы функционирования второго активного ботнета Hlux/Kelihos. Вредоносная программа для него была написана с использованием того же кода, что и в первом случае, однако новый бот, помимо традиционных функций рассылки спама и проведения DDoS-атак, обладал рядом дополнительных. В течение недели, начиная с 19 марта, «Лаборатория Касперского», команда CrowdStrike Intelligence, Honeynet Project и Dell SecureWorks проводили операцию по внедрению sinkhole-маршрутизатора, в ходе которой ботнет был успешно обезврежен. В отличие от традиционных ботнетов, которые для управления сетью используют один командный сервер (C&C), Hlux/Kelihos имеет пиринговую архитектуру, которая подразумевает, что каждый компьютер может выступать в качестве как сервера, так и клиента. Для нейтрализации подобной схемы группой экспертов по безопасности была создана глобальная распределенная сеть, состоящая из компьютеров, которые были внедрены в инфраструктуру ботнета. Вскоре эта сеть стала настолько масштабной, что «Лаборатория Касперского» смогла нейтрализовать действие ботов, предотвратив возможность получения ими вредоносных команд. Так как большая часть компьютеров, входящих в ботнет, соединена с маршрутизатором, эксперты «Лаборатории Касперского» имеют возможность отслеживать количество и географическое положение зараженных машин. На настоящий момент речь идет о 116 000 зараженных системах. Большинство IP-адресов расположены в Польше и США. Полный анализ проведенной операции содержится в блог-посте на Securelist. Источник: ko.com.ua Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.