Néhány napja már Web-szerte is elterjedt, hogy nyilvánosságra került a hírhedt ZeuS bot egyik verziója. Hungernek köszönhetően én már valamivel korábban hozzájutottam a forráskódokhoz és a build környezethez, így valamivel több időm volt megismerkedni ezzel a kis szörnyeteggel, ráadásul idő közben 26 másik "exploit-kitet" is közzétettek, így lehetőségem volt ezek összehasonlítására is. 

Az alábbiakban egy potenciális vásárló szemszögéből igyekszem bemutatni a ZeuS-t, remélem elnézitek nekem a sokszor "etikátlan" megközelítést, hiszen egy crimekit szépségeit csak úgy láthatjuk meg, ha a rosszfiúk helyébe képzeljük magunkat. 

Az első benyomásom az, hogy a ZeuS nagyszerűsége egyszerűségében, és fókuszáltságában rejlik: a legtöbb készlettel ellentétben a ZeuS bot tényleg csak egy távoli vezérlést biztosító bot, melynek megalkotói nem vesztegették az időt például a "leszállítás" mikéntjének kitalálására. Más csomagoknál láthatóan sok energiát fektettek kölünböző exploitok megvalósításába, majd a kódok összezavarására. Ezzel azonban mindössze annyit értek el, hogy definició szerint rövid szavatossági idejű, vagy már eleve lejárt exploit kódokat gyártottak, melyek így nehezen ellenőrizhetővé, módosíthatóvá vagy javíthatóvá váltak. A ZeuS felhasználóinak ugyan maguknak kell megoldaniuk a terjesztést, de legalább nem éri őket csalódás, mikor egy 2006-ban javított bug kihasználása többé már nem jön össze. És mivel a terjesztés mikéntje az egyedi felhasználók fantáziájára van bízva, a védelmi rendszereknek nincs lehetősége a bothoz kötni bizonyos exploit mintákat. Gyanús egyébként, hogy az esetek jelentős részében bármilyen exploit használata eleve felesleges, a felhasználók "önszántukból" telepítik a trójaiakat a gépükre (lásd: Trója)

A bot funkcionalitása is inkább az általános, mint az alkalmazás-specifikus feladatokra összpontosít. Nincsenek kiemelt parancsok mondjuk a legnépszerűbb bankok ügyfeleinek lehúzására, a HTTP-injekció segítségével ugyanolyan hatékonyan lehet adathalász Bank of America vagy MNB oldalakat létrehozni, mint rouge AV-k felé terelni a biztonsági megoldások iránt érdeklődőket. Szintén itt érdemes megemlíteni a BackConnect funkciót, melynek segítségével belső hálózatokban működő számítógépek portjait lehet a tűzfalon kívülre varázsolni. Az ismét a kedves vásárlóra van bízva, hogy az RDP-t, az SMB-t, vagy netán valamilyen egyedi alkalmazás szolgáltatásait szeretné igénybe venni. 

Néhány mondatban az implementációról: A kliens teljes egészében userspace-ben dolgozik, a szabványos Windows API-t használva. Ez alól kivétel néhány matematikai és memóriakezelő művelet mellett a különböző API-k hookolása illetve a DLL injekció, amihez a megfelelő könyvtármetódusok címeit az aktuális folyamat memóriaterületéből közvetlenül bogarássza ki a bot. Településkor az ágens az aktuális felhasználó minden 32 bites folyamatába beszúrja magát, a 64 bites PE struktúrák támogatása TODO-val szerepel. A bot újabb verziói véletlenszerű neveket használnak a fájlok illetve más objektumok (mutex-ek, registry kulcsok) elnevezésére, installációkor az eredeti állomány törlődik, és egy géphez kötött, egyedi változat jön létre. A C&C szerverekkel RC4-gyel titkosított csatornán történik a kommunikáció.

A kód egyéb iránt jól olvasható, (oroszul?) kommentezett, amivel szintén kiemelkedik a vetélytársak közül. Egy blogbejegyzés szerint egy ember munkájáról lehet szó. A magas szintű megvalósításnak köszönhetően a bot XP-n és attól felfelé minden Windows rendszeren fut, akár minimális privilégiumokkal (az ebből adódó korlátozások persze érvényesek). 

Összességében tehát egy jól átgondolt, igényesen kivitelezett szoftverről van szó, amely úgy dominálja a crimeware piacot, hogy gyakorlatilag teljesen hagyományos eljárásokat használ a működéséhez. 

Az érdeklődőknek feltöltöttem a meglepően igényes, angol nyelvű felhasználói útmutatót, illetve ha van konkrét kérdésetek a ZeuS-szal kapcsolatban, tegyétek fel kommentben, és megpróbálok választ találni rá!