La nueva botnet triplica el tamaño de la primera versión. Se han neutralizado ya más de 109.000 servidores infectados cuando la primera sólo afectó a 40.000.
Diario Ti: En su continua persecución contra los operadores de botnets y delitos cibernéticos, los expertos de Kaspersky Lab, junto con CrowdStrike Intelligence Team, Dell SecureWorks y los miembros del Honeynet Project, han trabajado de forma conjunta para poner fin a la segunda botnet Hlux (también conocida como Kelihos). Esta botnet ha triplicado el tamaño de la primera Hlux/Kelihos que se desactivó en el mes de septiembre de 2011. Kaspersky Lab ha neutralizado ya más de 109.000 sistemas infectados cuando en la versión inicial sólo se infectaron 40.000 hosts.
La primera botnet Hlux/Kelihos
Esta no es la primera vez que Kaspersky Lab detecta versiones de la botnet Hlux/Kelihos. En septiembre de 2011, Kaspersky Lab junto a la Unidad de Crimen Digital de Microsoft, SURFnet y Kyrus Tech, Inc., desactivaron con éxito la primera versión de la botnet.
Durante este periodo, Kaspersky Lab llevó a cabo una operación de sinkholing (sistema que hace que todas las comunicaciones que hace de “cabeza” al resto de los bots, no lleguen a su destino, destruyendo la comunicación interna y tomando el control) que desactivó la botnet y su infraestructura de backup desde el servidor Command & Control (C&C).
A pesar de que la botnet original estaba neutralizada y bajo control, los expertos de Kaspersky Lab emprendieron una nueva investigación en enero descubriendo que un segundo Hlux / Kelihos estaba operando. A pesar de que la botnet es nueva, el malware ha sido construido utilizando los mismos códigos que la botnet original. Al igual que la primera versión, la botnet también utilizó la red de ordenadores infectados para enviar spam, robar datos personales, y llevar a cabo el ataque DDoS hacia objetivos específicos.
Cómo se ha desactivado la segunda Hlux/Kelihos
Durante la semana del 19 de marzo, Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project pusieron en marcha una operación de sinkholing que logró deshabilitar la botnet.
Ambas redes eran botnets peer-to-peer (P2P), lo que significa que cada miembro de la red podía actuar como un servidor y/o cliente, a diferencia de las botnets tradicionales que se basan en un único mando y control del servidor C&C. Para neutralizar esta botnet P2P flexible, el grupo de expertos en seguridad ha creado una red global de equipos distribuidos que se han instalado en la infraestructura de la botnet. A medida que más máquinas infectadas se neutralizaban, la arquitectura P2P debilitaba su fuerza de forma exponencial perdiendo el control de los equipos.
Con la mayoría de las redes de bots conectados al sinkholing, los expertos de Kaspersky Lab pueden utilizar la minería de datos para realizar un seguimiento de las infecciones por el número y su ubicación geográfica. Hasta la fecha, Kaspersky Lab ha contado con 109.000 direcciones IP infectadas. La mayoría de las direcciones IP infectadas se encuentra en Polonia.
Kaspersky Lab da las gracias a CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project por su apoyo en la operación.
FUENTE :http://www.diarioti.com/noticia/Desmantelan_la_segunda_botnet_Hlux_Kelihos/31424
https://foro.elhacker.net/noticias/deshabilitan_con_exito_la_botnet_hluxkelihos-t340521.0.html
https://foro.elhacker.net/noticias/microsoft_identifica_al_responsable_de_la_botnet_kelihos-t351543.0.html
sábado, 31 de marzo de 2012
OSX/Tibet.C se distribuye usando un bug de Offie para mac
El equipo de Alient Vault informó sobre la campaña de distribución de un malware, al que se denominó OSX/Tibet.A, tanto en equipos Windows como en equipos Mac OS X por medio de spam y haciendo uso de un bug conocido de Java. Este era un ataque dirigido a ONGs pro-Tibet con el objetivo de controlar la máquina. Ahora se ha descubierto que se está utilizando también un bug conocido de Office para mac del año 2009 que Microsoft reconoció en el Boletín de Seguridad MS09-27. Este bug permite a un atacante, por medio de un documento Word especialmente malformado, ejecutar comandos en el sistema y tomar el control del equipo.
Los atacantes están enviando spam en el que en un correo electrónico se informa de los abusos de los derechos humanos del pueblo Chino a Tibet , y en el que se adjunta un fichero doc malicioso - catalogado con algunos nombres como TROJ_ARTIEF.AE , Troj/DocOSXDr-A o W97/CodeExec.gen -. Este documento, una vez abierto en una sistema Mac OS X con Office para mac sin parchear, se explota la vulnerabilidad y comienza a ejecutarse todo el proceso.
Figura 1: Spam utilizado para distribuir el exploit en formato .doc
Se copia el archivo file.doc y el script launch-hse en la ruta /tmp , junto con el script que lanza el troyano, que en este caso concreto se llama launch-hse y que ejecuta: #!/bin/sh /tmp/launch-hse & open /tmp/file.doc & Una vez lanzado, el dropper descarga los mismos ficheros que se ejecutaban en la versión anterior, aunque con pequeños cambios el fichero .plist y con el panel de control alojado en unas direcciones IP alojadas en USA .
Figura 2: Fichero .plist utilizado para obtener la persistencia
También se ha descubierto un segundo troyano compilado para diferentes arquitecturas - i386 , PPC , etcétera - que no se había visto hasta el momento, que además arroja un poco más de información en el caso, ya que se han podido descubrir en el fichero un par de rutas locales apuntando a los símbolos de debugging que hacen pensar que el proyecto, que parece un APT en toda regla, se ha denominado longgege y que al backdoor se le llama MacControl . /Developer/longgegeProject/Mac Control/MacControl V1.1.1/build/Foundation_Hello.build/ Release/Foundation_Hello.build/Objects-normal/ppc/Foundation_Hello.o /Developer/longgegeProject/Mac Control/MacControl V1.1.1/build/Foundation_Hello.build/ Release/Foundation_Hello.build/Objects-normal/i386/Foundation_Hello.o Una vez ejectuado se copia a sí mismo en /Library/launched y crea el fichero /Users/{Usuario}/Library/LaunchAgents/com.apple.FolderActionxsl.pslist para conseguir la persistencia tras el reinicio del sistema.
Cada vez que se arranca se conecta a unos servidores en China y envía información sobre la máquina infectada. Por supuesto, este backdoor es un R.A.T. en toda regla y permite tener un control total sobre la máquina de la víctima. Este troyano ya se empieza a detectar por todas las casas de antimalware para Mac OS X y ha recibido otros nombres como OSX/Bckdr-RLG o TSPY_MARADE.AA.
Figura 3: Envío de las credenciales de usuario al panel de control
Desde Seguridad Apple os recomendamos que tengáis actualizado todo el software del sistema - Java u Office para mac incluidos -. Para el caso de Office para mac os recordamos que hay una herramienta que se llama Microsoft AutoUpdate que avisa cada vez que haya una nueva actualización desde Microsoft .
Si tenéis antimalware en Mac OS X, os recomendamos tenerlo con protección activa en tiempo real que permita detectar acciones malicosas en los servicios en base a comportamiento para detectar nuevo malware no firmado, y que actualicéis las bases de datos de firmas para tener las últimas firmas generadas.
Publicado en Seguridad Apple
Suscribirse a:
Entradas (Atom)