Как CrowdStrike увел ботнет Kelihos

image

Теги: Kelihos

Эксперт по безопасности создал поддельный C&C сервер и заставил ботов подключиться к нему.

Тиллманн Вернер (Tillmann Werner), старший научный сотрудник компании CrowdStrike, совершил атаку на ботнет Kelihos в рамках конференции RSA в Сан-Франциско, на которой демонстрировались методы, используемые для борьбы с киберпреступлениями.

Он задействовал систему обмена сообщениями, которая используется для управления компьютерами, находящимися под управлением ботнета. Вернер создал поддельный C&C сервер и заставил ботов подключиться к нему. По словам эксперта, это было сделано, якобы, для защиты компьютеров.

На всякий случай ИБ-эксперт создал «черный список» серверов, контролируемых авторами Kelihos, и заблокировал доступ зараженных компьютеров к этим серверам.

Во время конференции Вернер на большом мониторе продемонстрировал появление красных точек на карте, что символизировало подключение новых ботов к его C&C серверу. Через несколько часов, по словам ИБ-эксперта, десятки тысяч зараженных компьютеров присоединились к серверу CrowdStrike.

Напомним, что основными задачами одной из самых больших ботсетей Kelihos являются хищение паролей, рассылка спама, кража учетных данных FTP-клиентов и данных BitCoin. Таким образом, небольшой стартап CrowdStrike обзавелся огромной вычислительной мощностью десятков тысяч компьютеров, что может позволить компании зарабатывать деньги, генерируя BitCoin, рассылая спам и пр.


или введите имя

CAPTCHA
мцугшг
27-02-2013 22:55:15
впору предлагать новую услугу- администрирование и защита ботнета от хакерских атак
0 |
28-02-2013 12:06:48
Серверов могло быть несколько. Они могли менять динамически. В любом случае они так или иначе обозначены в клиенте. Tillmann Werner либо создал домен раньше, либо увел его. И передал ботам новые команды, и закрыл доступ ко всем доменам куда они должны были стучать. Может еще пароль и порт изменил.
0 |
Madness
01-03-2013 16:42:39
По словам эксперта, это было сделано, якобы, для защиты компьютеров.Ключевое слово якобы
0 |