Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

ZeuS

2011.05.16. 15:00 | buherator | 5 komment

Néhány napja már Web-szerte is elterjedt, hogy nyilvánosságra került a hírhedt ZeuS bot egyik verziója. Hungernek köszönhetően én már valamivel korábban hozzájutottam a forráskódokhoz és a build környezethez, így valamivel több időm volt megismerkedni ezzel a kis szörnyeteggel, ráadásul idő közben 26 másik "exploit-kitet" is közzétettek, így lehetőségem volt ezek összehasonlítására is. 

Az alábbiakban egy potenciális vásárló szemszögéből igyekszem bemutatni a ZeuS-t, remélem elnézitek nekem a sokszor "etikátlan" megközelítést, hiszen egy crimekit szépségeit csak úgy láthatjuk meg, ha a rosszfiúk helyébe képzeljük magunkat. 

Az első benyomásom az, hogy a ZeuS nagyszerűsége egyszerűségében, és fókuszáltságában rejlik: a legtöbb készlettel ellentétben a ZeuS bot tényleg csak egy távoli vezérlést biztosító bot, melynek megalkotói nem vesztegették az időt például a "leszállítás" mikéntjének kitalálására. Más csomagoknál láthatóan sok energiát fektettek kölünböző exploitok megvalósításába, majd a kódok összezavarására. Ezzel azonban mindössze annyit értek el, hogy definició szerint rövid szavatossági idejű, vagy már eleve lejárt exploit kódokat gyártottak, melyek így nehezen ellenőrizhetővé, módosíthatóvá vagy javíthatóvá váltak. A ZeuS felhasználóinak ugyan maguknak kell megoldaniuk a terjesztést, de legalább nem éri őket csalódás, mikor egy 2006-ban javított bug kihasználása többé már nem jön össze. És mivel a terjesztés mikéntje az egyedi felhasználók fantáziájára van bízva, a védelmi rendszereknek nincs lehetősége a bothoz kötni bizonyos exploit mintákat. Gyanús egyébként, hogy az esetek jelentős részében bármilyen exploit használata eleve felesleges, a felhasználók "önszántukból" telepítik a trójaiakat a gépükre (lásd: Trója)

A bot funkcionalitása is inkább az általános, mint az alkalmazás-specifikus feladatokra összpontosít. Nincsenek kiemelt parancsok mondjuk a legnépszerűbb bankok ügyfeleinek lehúzására, a HTTP-injekció segítségével ugyanolyan hatékonyan lehet adathalász Bank of America vagy MNB oldalakat létrehozni, mint rouge AV-k felé terelni a biztonsági megoldások iránt érdeklődőket. Szintén itt érdemes megemlíteni a BackConnect funkciót, melynek segítségével belső hálózatokban működő számítógépek portjait lehet a tűzfalon kívülre varázsolni. Az ismét a kedves vásárlóra van bízva, hogy az RDP-t, az SMB-t, vagy netán valamilyen egyedi alkalmazás szolgáltatásait szeretné igénybe venni. 

Néhány mondatban az implementációról: A kliens teljes egészében userspace-ben dolgozik, a szabványos Windows API-t használva. Ez alól kivétel néhány matematikai és memóriakezelő művelet mellett a különböző API-k hookolása illetve a DLL injekció, amihez a megfelelő könyvtármetódusok címeit az aktuális folyamat memóriaterületéből közvetlenül bogarássza ki a bot. Településkor az ágens az aktuális felhasználó minden 32 bites folyamatába beszúrja magát, a 64 bites PE struktúrák támogatása TODO-val szerepel. A bot újabb verziói véletlenszerű neveket használnak a fájlok illetve más objektumok (mutex-ek, registry kulcsok) elnevezésére, installációkor az eredeti állomány törlődik, és egy géphez kötött, egyedi változat jön létre. A C&C szerverekkel RC4-gyel titkosított csatornán történik a kommunikáció.

A kód egyéb iránt jól olvasható, (oroszul?) kommentezett, amivel szintén kiemelkedik a vetélytársak közül. Egy blogbejegyzés szerint egy ember munkájáról lehet szó. A magas szintű megvalósításnak köszönhetően a bot XP-n és attól felfelé minden Windows rendszeren fut, akár minimális privilégiumokkal (az ebből adódó korlátozások persze érvényesek). 

Összességében tehát egy jól átgondolt, igényesen kivitelezett szoftverről van szó, amely úgy dominálja a crimeware piacot, hogy gyakorlatilag teljesen hagyományos eljárásokat használ a működéséhez. 

Az érdeklődőknek feltöltöttem a meglepően igényes, angol nyelvű felhasználói útmutatót, illetve ha van konkrét kérdésetek a ZeuS-szal kapcsolatban, tegyétek fel kommentben, és megpróbálok választ találni rá!

Címkék: trójai botnet trojan zeus

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nyos 2011.05.16. 22:18:35

Letoltottem. Most varom, hogy irjon a BSA, hogy megsertettem xy szerzoi jogait. Utana xy nevet tovabbkuldom a rendorsegnek, akik elfogjak a szemetladat.
Mission done.
(van valami nyomravezetoi dij?)

Joe80 2011.05.17. 00:33:52

Mi az a DLL injekció és mire jó?