La tercera versión de la prolífica botnet peer-to-peer, responsable de volúmenes de spam de productos farmacéuticos, robo de cartera Bitcoin y recolección de credenciales fue detenida en vivo ante la audiencia de la Conferencia RSA 2013.

Con la ejecución de algunos comandos que culminaron la semana de la asamblea de informes y codificación, un investigador de CrowStrike fue capaz de hundir miles de bots antes de una sesión llena de audiencia. Un mapa que ilustra las amenazas alrededor del mundo se iluminó como un semáforo con puntos rojos que representaban los bots que se conectan a las trampas antes que a sus proxies P2P, la ilustración muestra un derribo exitoso en tiempo real. "Cada par que pasa dentro de la trampa ya no debería comunicarse nunca a la botnet de nuevo," dijo Tillmann Werner, investigador senior de seguridad de CrowdStrike, quien había realizado una amplia labor con las dos versiones anteriores de la botnet. Tillmann Werner participó en el Congreso de Seguridad en Cómputo 2010 realizado por UNAM-CERT, con una conferencia magistral en la que abordó el tema del malware.

Durante la conferencia RSA 2013, se dijo que el equipo de crimen cibernético que está detrás de Kelihos obtuvo ganancias con las botnets que se remontan a las del gusano Storm en 2005 y después a la botnet Waledec. Kelihos A fue deshabilitada en septiembre de 2011, después de infectar más de 50 mil máquinas, dijo Werner. En un rango de tres semanas, la cara de la versión B (esta vez con 120 mil bots en marcha) fue derribada en febrero de 2012. La siguiente versión, sin embargo, fue puesta en marcha en 20 minutos, lo que indica que el equipo había mejorado sus procesos y tenía reemplazos listos al producirse un derribo. Dijo Werner que los mayores cambios fueron hechos a los protocolos que accionan Kelihos C, lo que obligó a iniciar la ingeniería inversa de cero.

Werner dijo que no sabía cuantas bots hay arriba en su versión C, pero que la valoración de bots hace check-ins predeterminados en intervalos de 30 minutos a las trampas y no a los proxies, que forman parte de las infraestructuras de comando que eran significativas.

Además de coordinar esfuerzos con las leyes en ejecución, incluyendo el FBI, así como con la organización Shadowserver (que fue sede de algunas de las infraestructuras que han caído), Werner dijo que los esfuerzos anteriores para cerrar la versión A y B dieron una ventaja en lo que se tenía que hacer en este caso.

El esfuerzo clave aquí, fue un ataque de envenenamiento peer-to-peer que desvía a las bots para evitar que se comuniquen con la red peer-to-peer de la botmaster. A diferencia de botnets tradicionales, no existe una comunicación directa con un comando y la infraestructura de control con una botnet peer-to-peer, lo que hace el derribo un poco más difícil. En lugar de derribar un servidor C&C masivo, Werner se centró en una capa intermedia de servidores proxy que se comunican con un servidor central oculto en algún lugar en Internet.

Werner dijo que él cavó profundo para lograr la comprensión de los protocolos de red en juego con Kelihos C y determinó que había seis tipos de mensajes diferentes que van desde la recolección de datos y la recopilación de solicitudes de instrucciones. El tipo de mensaje clave fue un cambio de lista de pares que dijo cuáles bots habían estado activos recientemente, cuándo y por cuánto tiempo. Recientemente, los pares activados eran favorecidos mientras que los que no estaban activos entraban a las listas negras de la botnet.

Werner fue capaz de escribir un demonio de hoyo negro que actuaba como una bot, que enviaría listas de pares maliciosos para otras bots. Una vez que las máquinas comprueban registrarse con un proxy sobre la media hora asignada para ir en busca de más trabajo, fueron enviados a la lista negra de un conjunto de direcciones IP que incluyen los comandos y control de proxies. Los bots, en cambio, eran el punto hacía el hoyo negro y el mapa de tensión del mundo era el blanco, que comenzó iluminándose como símbolo de misión cumplida.

"Nosotros deseamos servir especialmente a puestos de trabajo diseñados a evitar que las bots se comuniquen con el comando real y la infraestructura de control", dijo Werner. "Queremos enviar nuestros propios trabajos especiales para que las bots se comuniquen con nuestro hoyo negro, que registra y después descarta el tráfico."

Werner dijo que Microsoft podría ser la adición de firmas de detección para su herramienta de eliminación de software malicioso (MSRT) y que serían arrojados --a los usuarios durante el ciclo de actualización de seguridad del martes de parches de Marzo.

"Esperemos que se reduzcan significativamente las afectaciones", dijo.