Experten-Team schaltet zweites Kelihos-Botnetz ab

Virus, Netzwerk, Botnetz Bildquelle: mararie / Flickr
Dem russischen Sicherheits-Dienstleister Kaspersky Lab ist es gelungen, gemeinsam mit dem CrowdStrike Intelligence Team, Dell SecureWorks und Mitgliedern des Honeynet Projects das zweite Hlux-Botnetz, auch unter dem Namen Kelihos bekannt, erfolgreich vom Netz zu nehmen.
Das Botnetz war fast dreimal so groß wie sein Vorgänger, der Ende September 2011 abgeschaltet werden konnte. Innerhalb von fünf Tagen nach Beginn der Botnetz-Zerschlagung konnten die Partner nach Angaben Kaspersky Labs insgesamt 109.000 infizierte Hosts neutralisieren. Das erste Hlux/Kelihos-Botnetz bestand am Ende lediglich aus 40.000 infizierten Systemen.

Im September 2011 arbeitete Kaspersky Lab schon mit der Digital Crimes Unit von Microsoft, SurfNet und Kyrus Tech zusammen um das erste Hlux/Kelihos-Botnetz außer Betrieb setzen. Dabei wurde durch eine so genannte Sinkhole-Operation das Botnetz untergraben und seine Backup-Infrastruktur der Command-and-Control-Server (C&C) abgeschaltet. Trotz der Zerschlagung des Botnetzes entdeckte man im Januar 2012 ein zweites Hlux/Kelihos-Netz.

Obwohl die Infrastruktur neu war, wurde der selbe Code wie beim ersten Hlux/Kelihos-Netz verwendet. Allerdings zeigte die neu entdeckte Malware, dass der aktuelle Hlux-Trojaner eine Reihe unbekannter Updates zur Verfügung stellte, inklusive Infizierungsmethoden und Bitcoin-Features zum generieren und stehlen der virtuellen Währung. Wie beim Original-Botnetz wurde das illegale Netzwerk für Spam-Versand, den Diebstahl persönlicher Daten sowie für gezielte DDoS-Attacken missbraucht.

Mitte März starteten die Partner eine neue Sinkholing-Operation, bei der das zweite Hlux/Kelihos-Botnetz erfolgreich untergraben und vom Netz genommen wurde. Die Schwierigkeit bestand darin, dass es sich um ein Peer-to-Peer-Botnetz handelte. Dies bedeutet, dass jeder Bestandteil des Netzes als Server und/oder Client agieren kann, während traditionelle Botnetze meist über einen zentralen Command-and-Control-Server gesteuert werden.

Um das flexible Netz zu neutralisieren, entwickelten die Sicherheitsexperten ein globales Netzwerk, das in die Botnetzinfrastruktur eingeschleust wurde. Mit der Zeit wurde das Sinkhole-Botnetz innerhalb Hlux zunehmend mächtiger. Die Sicherheitsexperten konnten immer mehr infizierte Maschinen kontrollieren und so verhindern, dass die schädlichen Bot-Operatoren Zugang zu den infizierten Rechnern erhielten.

Je mehr infizierte Computer neutralisiert wurden, desto mehr konnte die Botnetz-Infrastruktur über die Peer-to-Peer-Architektur untergraben werden, der Einfluss von Hlux auf die infizierten Maschinen ging mit jedem neutralisierten Computer stetig verloren. Virus, Netzwerk, Botnetz Virus, Netzwerk, Botnetz mararie / Flickr
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden