Lurar med sinkhole
En snarlik idé användes också av it-säkerhetsföretaget för att bekämpa Hlux. Genom att analysera infektionskoden bakom Hlux fann it-säkerhetsforskarna att ett speciellt protokoll användes för att skicka och ta emot kommandon från kontrollservarna. Nästa naturliga steg blev att låta en Kaspersky Labs-dator bli infekterad med flit, för att se vilka arbetskommandon den fick och lista ut vad som hände i botnätet, skriver Werner.
Snart därefter utnyttjades den adresspropagerande funktionen i Hlux också för att skicka ut en speciell ip-adress från Kaspersky Lab. När adressen automatiskt distribuerats av nätverket till de övriga bot-datorerna blev resultatet att dessa började kommunicera med it-säkerhetsföretagets dator istället för de kontrollservrar som ursprungligen styrt datorerna.
Konstant trafik till ett sinkhole i slutet av September. Bildkälla: Kaspersky Lab.
Experter kallar den trafikdirigerande lösningen för ”sinkhole”, en slags fälla som i it-sammanhang fångar upp all trafik. Den 28 september inkom till exempel cirka 3 000 anrop per minut till it-säkerhetsföretagets sinkhole. Bilden ovan visar hur trafiken såg ut under vecka 39.
Samtidigt skickades en ny lista på kontrollservrar ut av it-säkerhetsexperterna. Denna gång en lista på datorer som Kaspersky Lab kontrollerade. Detta i syfte att helt skära av de cyberkriminellas möjlighet att kontrollera sitt eget botnät.
Hlux hade visserligen en reservkanal för nödlägen, en så kallad fallback-channel, men denna stoppades i förväg av Microsoft, som stängde av de domäner som botnätet annars skulle ha anslutit till.
Fördelen med ett övertagande är inte bara att botnätet kan beordras att upphöra med sina aktiviteter, i det här fallet utskick av skräpmelj. Det ger också it-säkerhetsexperterna värdefulla data om botnätets struktur, uppger Werner. Till exempel information om hur infektionerna ser ut per land och hur många datorer som infekterats.
I detta skede är det dock viktigt att komma ihåg att problemet inte är slutligt löst. Även om Microsoft och Kaspersky Lab lyckats ta över botnätet, kvarstår det faktum att över 49 000 datorer fortfarande är infekterade med skadlig kod.
De två företagen uppger sig jobba tillsammans internetleverantörer för att informera berörda slutanvändare om infektionerna.
Tillman Werner tipsar slutligen också it-ansvariga på företag om ett varningstecken som kan tyda på Hlux-infektion i nätverket. Om en dator i nätverket anropar fallback-domäner som hellohello123.com och magdali.com bör man se upp (för den kompletta listan se faktarutan intill).
Har ditt företag blivit utsatt för en ddos-attack?
Nedan är en uppsättning dns-namn som var aktuella innan Microsoft och Kaspersky Lab slog till mot Hlux. Om en dator frågar efter någon av dessa kan de vara infekterade av Hlux/Kelihos.
- hellohello123.com
- magdali.com
- restonal.com
- editial.com
- gratima.com
- partric.com
- wargalo.com
- wormetal.com
- bevvyky.com
- earplat.com
- metapli.com
Källa: Securelist.