Ewolucja złośliwego oprogramowania VII-IX 2007
2005-12-20 07:00:00

Reklama:

Ewolucja złośliwego oprogramowania VII-IX 2007Ewolucja złośliwego oprogramowania VII-IX 2007 Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował raport "Ewolucja szkodliwego oprogramowania: lipiec - wrzesień, 2007". Autorzy artykułu, Alexander Gostev oraz Vitaly Kamluk, ujawniają jak doszło do wykrycia "uniwersalnego kodu", wykorzystywanego w szeregu szkodliwych programów o różnych funkcjach. Trzeci kwartał 2007 nie był tak obfity w wydarzenia jak oczekiwano. Naturalnie szkodliwe programy nie zniknęły, a twórcy wirusów z pewnością nie zresocjalizowali się z dnia na dzień. Mimo to zdarzenia związane z zagrożeniami występowały na mniejszą skalę niż w poprzednich miesiącach czy latach. Na osobie, która pamięta globalne epidemie wywołane przez robaki Mydoom i Lovesan, nieustający strumień niemal identycznych trojanów zalewających Internet raczej nie zrobi dużego znaczenia. Na pierwszy rzut oka wygląda na to, że szkodliwi użytkownicy cierpią na brak ambicji, zarówno jeżeli chodzi o skalę jak i innowację. Istnieje jednak proste wyjaśnienie: cyberprzestępczość staje się biznesem, dlatego obecnie cyberprzestępcy próbują unikać "radarów". Epidemie wirusowe prowadzą do śledztw wszczynanych przez organy ścigania. Ci po drugiej stronie barykady działają teraz zgodnie z hasłem, że najważniejsza jest dyskrecja, zachowując się tak cicho i nienachalnie, jak to możliwe. W takim klimacie znaczące innowacje techniczne są rzadkością. Ugrupowania przestępcze preferują teraz wypróbowane techniki i struktury. O ich działaniach dowiedzieć się można zazwyczaj wtedy, gdy stają się nieostrożni. W tym wypadku pewną rolę odgrywa chciwość oraz niezbyt wielkie umiejętności techniczne. Za co zostanie zapamiętany trzeci kwartał 2007 roku? Za liczne incydenty związane z kradzieżą danych użytkownika. Za najnowszego trojana szantażystę. Masową histerię związaną z rosyjską firmą Russian Business Network, nazywaną przez zwykłych użytkowników Resident Evil świata cybernetycznego. Na tym tle informacja o wzrastającej liczbie botnetów związanych z Zhelatinem (Storm Worm) pozostała prawie niezauważona. Przeoczono nawet informację o tym, że botnet robaka Storm składa się z ponad 2 milionów maszyn. Rzeczywista "linia frontu" została przesunięta na całkowicie inny poziom - jednak media nic nie wspominały o tym. W trzecim kwartale 2007 roku wiele uwagi poświęcono wydarzeniom, o których donosiły media. Badanie jednego incydentu doprowadziło specjalistów z Kaspersky Lab do innych incydentów, które dopiero co zaczynały się wyłaniać; obserwatorowi z zewnątrz wydarzenia te mogły wydawać się pozbawione związku. Nowy raport kwartalny nie jest standardowy. Opiera się na danych pochodzących z jednego, poważnego dochodzenia i nie tylko obejmuje istotne wydarzenia z ostatnich trzech miesięcy, ale również pokazuje, czym właściwie zajmują się analitycy wirusów. Powrót szantażysty Przez ponad rok nie było nowych wiadomości o szyfrujących koniach trojańskich. W zeszłym roku w artykule Kaspersky Lab zatytułowanym "Szantażysta" szczegółowo przedstawiono, w jaki sposób firmy antywirusowe zwalczają Gpcodea, program wykorzystujący algorytm RSA w celu szyfrowania danych użytkownika. W artykule przewidywano, że w przyszłości pojawi się większa liczba takich programów. Jednak do następnego pojawienia się programu szyfrującego, w połowie lipca 2007 roku, minął prawie rok. Mniej więcej od 13 lipca niektórzy użytkownicy zaczęli zauważać, że ich dokumenty, zdjęcia, archiwa i pliki robocze przestały się otwierać i zawierały "cyfrowy śmietnik". Ponadto w ich systemach pojawił się plik o nazwie read_me.txt. Niestety zawartość tego pliku była specjalistom z Kaspersky Lab dobrze znana: Ewolucja złośliwego oprogramowania VII-IX 2007 Czyżby nieznany oszust powrócił? Analitycy wirusów z firmy Kaspersky Lab znali już ten adres e-mail - użyto go w niektórych wariantach trojana LdPinch oraz bankerach - trojanach o wyraźnie rosyjskich powiązaniach. Przeprowadzona przez zespół Kaspersky Lab analiza zaszyfrowanych plików pokazała, że w przeciwieństwie do tego, co podano w e-mailu, twórcy wirusów nie wykorzystali algorytmu RSA-4096, ale modyfikację algorytmu RC4. To znacznie ułatwiło zadanie specjalistom. W ciągu 24 godzin od wykrycia trojana szantażysty zdołano złamać klucz szyfrujący i dodać do antywirusowych baz danych Kaspersky Lab procedury deszyfrowania dla plików użytkownika. Analiza tej nowej wersji Gpcodea pokazała, że szkodnik ten posiada wiele funkcji. Oprócz szyfrowania Gpcode potrafił kraść dane użytkownika z zaatakowanej maszyny, wysyłać je na serwer zdalnego użytkownika oraz pobierać z niego określone pliki. Zdawano sobie sprawę, że trojany wymuszające hasła stanowią poważne zagrożenie, i postanowiono bardziej szczegółowo zbadać najnowszy szkodliwy program o nazwie Gpcode.ai. Okazało się, że była to bardzo trafna decyzja. Na tropie Gpcode.ai Postanowiono skupić się na trzech głównych obszarach: serwerze, na który trojan wysyłał dane i z którego pobierał pliki adresie e-mail podanym w wiadomości pozostawionej na zaatakowanych maszynach ciągu tekstowym zawartym w ciele trojana - "_SYSTEM_64AD0625_" 1. Serwer Ustalono, że Gpcode.ai łączył się z serwerem za pomocą umieszczonego tam skryptu s.php. Ponadto, pobierał z serwera plik o nazwie cfg.bin. Plik ten stanowił zaszyfrowany zestaw instrukcji dotyczących tego, jakie informacje powinny zostać przechwycone z zaatakowanej maszyny (dane o koncie dla szeregu systemów płatniczych oraz bankowości). Szkodnik ten analizowany był przez kilka firm antywirusowych. Alarm podnieśli przedstawiciele PrevX, którzy na serwerze szkodliwego użytkownika wykryli pliki pochodzące z 494 zaatakowanych maszyn. Firma ta podała następnie do wiadomości, że wśród ofiar szantażysty znajdowało się wiele dużych firm. Mel Morris, dyrektor generalny PrevX, ujawnił nawet ich nazwy: American Airlines, Booz Allen Hamilton oraz Amerykański Departament Stanu. Żadna z ofiar nie zdecydowała się skomentować decyzji Morrisa o ujawnieniu tych informacji. Branża nie pochwalała tego kroku PrevX. David Perry z Trend Micro powiedział, że postanowienie PrevX o ujawnieniu szczegółów zaniepokoiło jego firmę. Największe firmy antywirusowe próbowały unikać podawania jakichkolwiek informacji (takich jak serwer czy adresy e-mail) dotyczących szkodliwych użytkowników, zatajając te szczegóły również w publikowanych opisach wirusa (mimo że nie zawsze im się to udawało). Jednak PrevX zdradził całemu światu nie tylko to, gdzie można uzyskać dostęp do prywatnych danych, ale również do kogo one należą. Prawdziwą obławę przeżywał martin-golf.net - odwiedzany przez ekspertów ds. bezpieczeństwa, hakerów, przedstawicieli organów ścigania z różnych państw, jak również zwykłych ciekawskich. Badanie, które mogłoby zostać przeprowadzone, zostało przerwane - szkodliwi użytkownicy wiedzieli, że są obserwowani i pozwolili, aby obserwujący obserwowali obserwujących, a nie przestępców. Z tego powodu ta linia śledztwa nie mogła przynieść rezultatów. Dlatego uwagę skierowano na adres e-mail. Eksperci z Kaspersky Lab chcieli dowiedzieć się, jak dokładnie wyglądała korespondencja między cyberprzestępcą a użytkownikiem skłonnym zapłacić pieniądze za przywrócenie swoich danych. Na jeden z adresów z programu trojańskiego wysłano więc e-mail o następującej treści: "Nazywam się John Brown. Moje ważne dane zostały zaszyfrowane. Dane te są mi pilnie potrzebne do opracowania raportu. Jeśli go nie skończę, mój szef mnie zabije".     Ewolucja złośliwego oprogramowania VII-IX 2007 Następnego dnia otrzymano następującą odpowiedź od nieznanego szkodliwego użytkownika: Wraz z tym mailem ta linia śledztwa utknęła w martwym punkcie. 3. Ciąg "_SYSTEM_64AD0625_" Jedyną rzeczą, jaka pozostała, było ustalenie, jakie inne szkodliwe programy mogły zostać stworzone przez grupę przedstawiającą się jako "Glamourous team". Specjaliści z Kaspersky Lab zaczęli więc przeszukiwać własną kolekcję wirusów w celu znalezienia następującego ciągu: "_SYSTEM_64AD0625_" Rezultaty były zaskakujące. Muteks ten znaleziono w wielu różnych rodzajach trojanów - trojanach downloaderach, trojanach szpiegujących oraz backdoorach. Wspólną cechą wszystkich tych próbek była nazwa pliku, który szkodliwe programy zainstalowały na zaatakowanej maszynie: ntos.exe, dokładnie tej samej nazwy pliku używał Gpcode.ai. Oprócz tego, szkodliwe programy znalezione w kolekcji zawierały pliki o nazwie sporder.dll oraz rsvp322.dll i tworzyły podkatalog o nazwie wsnpoem, zawierający pliki o nazwach audio.dll oraz video.dll w katalogu systemu Windows. Szczegółowa analiza wybranych plików pokazała, że oprócz tego, że zawierały one ten sam muteks, ich kod był w ponad 80% identyczny! "Uniwersalny" kod Szkodliwe programy wykorzystujące ten "uniwersalny" kod posiadały pojedynczy komponent oraz niewielką (w porównaniu z całkowitym rozmiarem pliku), unikatową funkcję różniącą się w zależności od wersji. Interesujące jest to, że niektóre z tych programów wykryto jeszcze pod koniec 2006 r. Przy pomocy tego "uniwersalnego" kodu stworzono również Gpcode.ai. Nowe wpisy i zależności między nimi znacznie rozszerzyły diagramy, które eksperci z Kaspersky Lab wykorzystywali w śledztwie. Kolejnym etapem w badaniu było przeanalizowanie odsyłaczy w próbkach zawierających "uniwersalny" kod. Z wykrytego niedawno pliku wydobyto cztery odsyłacze - odsyłacze, które posłużyły szkodliwemu programowi do dostarczenia swojej szkodliwej funkcji: http://81.95.149.28/logo/zeus.exe http://81.95.149.28/logo/zupa.exe http://myscreensavers.info/zupa.exe http:/81.95.149.28/logo/fout.php Ewolucja złośliwego oprogramowania VII-IX 2007 Co robi ten trojan? Przede wszystkim instaluje się na zaatakowanej maszynie jako ntos.exe, następnie pobiera pliki o nazwie zeus.exe (http://81.95.149.28/logo/zeus.exe) oraz zupa.exe (http://81.95.149.28/logo/zupa.exe), łącząc się poprzez skrypt o nazwie fout.pho (http:/81.95.149.28/logo/fout.php) w celu zidentyfikowania siebie w botnecie. Trojan pobiera cfg.bin, zaszyfrowany plik konfiguracyjny. Plik ten zawiera wiadomość tekstową oraz odsyłacze do innych stron. Następnie szkodnik zaczyna śledzić aktywność użytkownika i gdy ten odwiedzi jakiekolwiek fora, księgi gości czy blogi, trojan dołącza swój własny tekst (wydobyty z cfg.bin i zawierający odsyłacze do szkodliwego pliku (http://myscreensavers.info/zupa.exe)) do wiadomości użytkownika (co przedstawia obrazek). Eksperci skorzystali z Google, aby znaleźć podobne przykłady... bez trudu trafili na wiele: Jakie szkodliwe programy wykorzystywał do rozprzestrzeniania się analizowany przez nas trojan? Poniższe dane ukazują interesujący obraz: Ewolucja złośliwego oprogramowania VII-IX 2007 Do końca nie było wiadomo, co to znaczy. Zaczęto podejrzewać istnienie międzynarodowej grupy zamieszanej w tworzenie i rozprzestrzenianie ogromnej większości dzisiejszych szkodliwych programów. Najgorsze obawy potwierdziły się, gdy przeanalizowano botnet, który został stworzony przy użyciu Bzuba. Stało się jasne, że trojan, nazwany przez swojego autora Zupacha, był bezpośrednim krewnym Bzuba. Bzub oraz Zupach to prawie identyczne programy, jednak Bzub posiada funkcję trojana szpiegującego, Zupacha natomiast jej nie posiada. Bzub/ Zupacha są klientami bota zarządzanymi przez system botnetu Zunker. Istnieje jeszcze inny szkodliwy program związany z botnetem Zunker: Email-Worm.Win32.Zhelatin.bg. Jest to jeden ze sławnych robaków Storm, które od początku 2007 roku zalewają ruch pocztowy. W celu rozprzestrzeniania się robaki te wykorzystują zaawansowane metody socjotechniki. Podsumowując: Zhelatin, Warezov, Bancos.aam, Bzub, a teraz Gpcode.ai są ze sobą powiązane. Programy te pochodzą z różnych rodzin, jednak rodziny te należą do jednych z najaktywniejszych i najniebezpieczniejszych szkodliwych programów w tym momencie. Pliki o takich nazwach, jak ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92520748.exe, zeus.exe, zs1.exe są dobrze znane analitykom wirusów na całym świecie. Powiązania między trojanami przedstawiają się w następujący sposób: 25 lipca 2007 r. (zaledwie 10 dni po pojawieniu się Gpcode.ai) analitycy z firmy Kaspersky Lab zauważyli aktywne rozprzestrzenianie się nowego szkodliwego programu. Jego ofiarą padli użytkownicy kilku najpopularniejszych rosyjskich stron informacyjnych - utro.ru, gzt.ru, rbc.ru. Stało się jasne, że otworzyli oni odsyłacz (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN) w systemie banerowym Utro.ru, który zawierał odsyłacz do zainfekowanej strony (http://81.95.145.210/333/m00333/index.php). Stronę tę hostowała firma RBN (Russian Business Network). Po otwarciu tej strony, przeglądarka użytkownika była atakowana przy użyciu kolekcji eksploitów (w tym przypadku, Mpack). Gdyby atak powiódł się, na zaatakowaną maszynę zostałby pobrany trojan downloader. Program ten zainstalowałby z kolei inny szkodliwy program - Trojan-Spy.Win32.Bancos.aam. Po zainstalowaniu się w systemie trojan zacząłby wykonywać następujące polecenia: GET /e1/file.php HTTP/1.1 GET /ldr1.exe HTTP/1.1 GET /cfg.bin HTTP/1.0 POST /s.php?1=april_002fdf3f&i= HTTP/1.0 Ewolucja złośliwego oprogramowania VII-IX 2007 W rezultacie, na zaatakowanej maszynie pojawiłby się plik o nazwie ntos.exe (nazwa dobrze znana analitykom wirusów). Plik ten wykorzystywany był do instalowania Gpcode.ai w systemie. Spodziewając się najgorszego, w postaci nowego programu szyfrującego, zaczęto szczegółowo analizować ten plik. Okazało się jednak, że program ten nie jest wariantem Gpcode. Ta nowa wersja Bancos.aam była pierwszym trojanem szpiegującym stworzonym w celu kradzieży danych użytkowników rosyjskiego systemu QUIK. QUIK jest pakietem aplikacji zapewniającym dostęp online do systemów giełd papierów wartościowych. Składa się z aplikacji po stronie serwera oraz terminala po stronie klienta, które komunikują się ze sobą za pośrednictwem Internetu. Uzyskiwanie przez cyberprzestępców dostępu do kont bankowych to zjawisko występujące już od dłuższego czasu. Jednak kradzież danych umożliwiających dostęp do internetowych giełd papierów wartościowych to coś nowego. Trojan ten skanował zaatakowaną maszynę w poszukiwaniu plików o nazwie secring.txk, pubring.txk oraz qcrypto.cfg zawierających zapisane parametry dostępu do systemu QUIK. Dane z tych plików wysyłane były następnie z powrotem na serwer. Wiedząc dokładnie, jakich plików szukał program szpiegujący, po raz kolejny przeszukano kolekcje wirusów Kaspersky Lab. Znaleziono kolejne pięć wariantów trojana, z których pierwszy pochodził z początków lipca. W rezultacie, wszystkie te programy zostały zaklasyfikowane do nowej rodziny o nazwie Trojan-PSW.Win32.Broker. Trojany te wykazywały zadziwiające podobieństwo do trojana Gpcode.ai pod względem kodu. Różnice polegały na tym, że jeden kradł dane, drugi szyfrował dane. Po raz kolejny natrafiono na "uniwersalny" kod. Do pierwszego sierpnia eksperci z Kaspersky Lab ustalili następujące fakty: Gpcode.ai wykorzystywał "uniwersalny" kod i kontaktował się ze stroną martin-golf.net Bancos.aam wykorzystywał "uniwersalny" kod i pobierał pliki hostingowane przez firmę Russian Business Network (RBN) Niektóre z botnetów Zunkera, które już wykryto, były hostingowane w zasobach RBN Botnety Zunkera działają jak centra dowodzenia dla downloaderów, które pobierają programy podobne do Bancos.aam/Gpcode.ai Wśród szkodliwych programów, które mogą być zarządzane przez Zunkera, znajduje się downloader Zunker, program szpiegujący Bzub i prawdopodobnie robak Zhelatin (Storm) Jeden z takich botnetów został wykorzystany do rozprzestrzeniania robaka Warezov Wiele czasu poświęcono na czytanie różnych stron oraz forów hakerskich, w większości w języku rosyjskim. Stopniowo sytuacja zaczynała się wyjaśniać. Ewolucja złośliwego oprogramowania VII-IX 2007 W poszukiwaniu "uniwersalnego" kodu Czym więc specjaliści z Kaspersky Lab zajmowali się przez cały ten czas? Strony hakerskie aktywnie sprzedawały pakiet Zunker+Zupacha - centrum dowodzenia botnetu oraz klient bota. To już wiedzieli. Interesującym odkryciem było to, ile pieniędzy nieznani autorzy systemu bota żądali za swój pakiet: do 3000 dolarów. Od czasu do czasu pojawiały się oferty "dwa w jednej cenie" w wysokości około 200 dolarów. Takie oferty składali prawdopodobnie inni właściciele kodu źródłowego pakietu trojanów. Eksperci Kaspersky Lab jednak nie mieli żadnych problemów z uzyskaniem plików Zunkera oraz Zupacha za darmo, znając adresy niektórych aktywnych botnetów. Wystarczyło skorzystać z Google. Funkcje Zupacha okazały się groźne. Oprócz pobierania plików na zaatakowaną maszynę, głównym zadaniem tego programu jest dalsze rozprzestrzenianie się. Opisano już jeden ze sposobów jego rozprzestrzeniania się (poprzez zamieszczanie swoich tekstów w wiadomościach na forach). Ogólnie, Zupacha potrafi rozsyłać swoje odsyłacze przy użyciu technik spamowych w następujący sposób: Spam ICQ/Jabber: Teksty z odsyłaczami do zainfekowanych stron dodawane są do wszystkich wiadomości, które ofiara wymienia ze swoimi kontaktami za pośrednictwem tych klientów komunikatorów internetowych. Spam WWW: Teksty dodawane są do każdego formularza internetowego wypełnionego przez użytkownika. Z reguły są to formularze znajdujące się na forach oraz interfejsach sieciowych systemów pocztowych. Spam e-mail: Teksty dodawane są do wiadomości e-mail. Należy zauważyć, że w zaprezentowanych wyżej przypadkach Zupacha nie inicjuje masowej wysyłki wiadomości. Monitoruje jedynie aktywność użytkownika i dodaje swoje teksty do każdej wiadomości wychodzącej - w taki sposób, żeby użytkownik ich nie zauważył! Celem tej funkcji jest utrudnienie wykrycia infekcji. Jednak Zupacha nie kradnie danych - jest to jedynie samodzielnie rozprzestrzeniający się trojan downloader. Dlatego też, nie może być niesławnym "uniwersalnym" kodem. Odpowiedź na pytanie otrzymano po dalszej analizie ofert hakerów dotyczących szkodliwych programów: "uniwersalny" kod, który został wykorzystany w setkach wariantów Bancos.aam, Gpcode.ai oraz Broker okazał się botem ZeuS (nazwa użyta przez samego autora). Zgromadzone przez Kapsersky Lab dane dotyczące wariantów ZeuS, które już posiadano, plus dochodzenia przeprowadzone w Internecie, pozwoliły uzyskać prawie pełny obraz tego programu. Należy zacząć od faktu, że bot został pierwotnie stworzony w celu odsprzedaży każdemu, kto chciałby go kupić, oraz skonfigurowania zgodnie z życzeniami klienta. Autor programu nie oferował "wsparcia technicznego" osobom, które go zakupiły, zlecając tą funkcję innym. Po rozgłosie wokół Gpcode.ai oraz Broker wydaje się, że autor uznał, że jego twór za bardzo zwrócił na siebie uwagę i organy ścigania wykazywały zbyt wielkie zainteresowanie nim. Ogłosił więc, że sprzedaż programu została zakończona. Ewolucja złośliwego oprogramowania VII-IX 2007 Historia ta przypomina zdarzenia, jakie miały miejsce pod koniec zeszłego roku, gdy na skutek incydentów związanych z kradzieżą danych klientów banku Nordea usłyszano o trojanie Nuclear Grabber z bardzo podobną funkcjonalnością. Na pewnym etapie trojan ten był sprzedawany za 3 000 dolarów, a jego autor, Corpse, udzielił nawet wywiadu jednemu z dziennikarzy. Corpse ogłosił następnie na swojej stronie, że "wycofuje się z biznesu", że cały kod źródłowy został zniszczony wraz z dyskiem twardym i że nie będzie już dłużej tworzył ani wspierał szkodliwych programów. W przypadku ZeuS, scenariusz był bardzo podobny. Mimo że pod koniec lipca autor zamknął sklep, konstruktor nadal krążył wśród hakerów. Umożliwiał on tworzenie nowych wariantów bota z określonymi funkcjami. Kilka rywalizujących ze sobą grup zaczęło sprzedawać i rozprzestrzeniać te nowe warianty. Początkowo ZeuS posiadał stosunkowo ograniczoną funkcjonalność bota - pobierał jedynie inne pliki do systemu. Z czasem jednak jego funkcjonalność została rozszerzona. Nie wiadomo, czy dokonał tego sam autor, czy też te nowe funkcje zaimplementowali nowi "właściciele" kodu źródłowego. Najistotniejszą innowacją było pojawienie się uniwersalnego "interfejsu" w ZeuS, który pozwalał programowi na łączenie się z botnetem Zunker (podobnie jak Zupacha), otrzymywanie instrukcji za pośrednictwem pliku cfg.bin i wykonywanie ich w locie. Eksperci z Kaspersky Lab stworzyli program do deszyfrowania niektórych plików cfg.bin. Okazało się, że pliki te zawierały adresy online różnych banków i systemów płatności. Właściciele botnetu mogli szybko dodać adresy nowych celów, aby śledzić aktywność użytkownika i przechwytywać dane. Oprócz standardowych procedur (takich jak instalowanie się na zaatakowanej maszynie, wstrzykiwanie własnego kodu do uruchamianych procesów, zwalczanie niektórych rozwiązań antywirusowych), bot posiadał również rozbudowaną funkcjonalność kradzieży danych: Trojan przechwytuje zawartość Pamięci Chronionej (Protected Storage), która zawiera zapisane hasła użytkownika. "Form grabber". Trojan przechwytuje wszystkie dane wprowadzane do formularza przesyłanego za pośrednictwem przeglądarki. Lista monitorowanych adresów składa się, z reguły, z banków i systemów płatności. W ten sposób kradzione są konta bankowe. Omijanie wirtualnych klawiatur. Trojan przechwytuje wciśnięcia przycisków myszy i wykonuje zrzuty ekranu podczas przechwytywania danych. Fałszowanie witryn i stron. Jest to bardzo interesująca metoda, wykorzystywana wcześniej w Nuclear Grabber. Gdy użytkownik próbuje skontaktować się z jedną ze stron monitorowanych przez trojana w celu przechwytywania danych, żądanie jest przekierowywane na stronę phishingową lub do oryginalnej strony dodawane jest nowe pole wprowadzania danych. Zawartość strony jest modyfikowana na komputerze użytkownika, zanim strona zostanie wyświetlona przez przeglądarkę. Kradzież certyfikatów. Cechą rozpoznawczą ZeuS, dzięki której bardzo szybko odnaleziono jego warianty w kolekcji Kaspersky Lab, jest muteks tworzony w celu zaznaczenia swojej obecności w pamięci: _SYSTEM_ __SYSTEM__64AD0625__ __SYSTEM__23D80F10__ __SYSTEM__7F4523E5__ __SYSTEM__45A2F601__ Dzięki temu można było sklasyfikować wszystkie warianty ZeuS do oddzielnej rodziny o generycznej nazwie Zbot. To właśnie jest ten "uniwersalny" kod; wykorzystuje on wiele oryginalnych metod w celu kradzieży wszelkiego rodzaju danych. Najniebezpieczniejsze jest to, że do każdego nowego wariantu można dodać wiele innych funkcji, tak jak w przypadku Gpcode.ai. Ewolucja złośliwego oprogramowania VII-IX 2007 Teraz wszystko stało się jasne. W rezultacie, rosyjska społeczność cyberprzestępców stosuje standardowy pakiet: zestaw Zupacha+ZeuS oraz zarządzany przez ten zestaw botnet Zunker. Rozmiar sieci zombie stworzonych przy użyciu tych programów jest imponujący. Jedna z największych sieci, stworzona przy użyciu Zunker, składała się w momencie wykrycia z 106 000 zaatakowanych maszyn - co 24 godziny dodawanych było 1 500 nowych komputerów. Zupacha potrafił bardzo skutecznie się rozprzestrzeniać, ponieważ centrum dowodzenia botnetu jest łatwe w konfiguracji i użyciu. Każdy szkodliwy użytkownik, nawet "dzieciak skryptowy", mógłby kupić te dwa trojany (ZeuS oraz Zupacha) skonfigurowane specjalnie dla konkretnego klienta. Następnie musiał wynająć serwer i zainstalować Zunkera (panel sterujący botnetu). Naturalnie w wielu przypadkach wybraną firmą hostingową była Russian Business Network, o której przez ostatnie sześć miesięcy donosiły media, i która zyskała na Zachodzie reputację podobną do tej, jaką cieszyła się Umbrella Corporation w grze video Resident Evil. Specjalistów Kaspersky Lab interesowała nie tyle RBN co jej klienci oraz wykorzystywane przez nich botnety. Ponieważ wiedzieli, gdzie i czego szukać łatwo zidentyfikowali kilka takich systemów. Eksperci Kaspersky Lab są pewni, że niektóre z botnetów Zunker wykorzystywane były do rozprzestrzeniania niebezpiecznych szkodliwych programów, takich jak Zhelatin (robak Storm) oraz Warezov. Ich autorzy mogli celowo wykorzystać Zunker+Zupacha do stworzenia tych botnetów lub też wydzierżawić moc istniejących już botnetów, płacąc właścicielom za rozprzestrzenianie swych szkodników. Warto zauważyć, że gdy Zupacha wpadł w ręce hakerów z Zachodu, ci zachwycali się koncepcją, analizowali kod i dyskutowali na jego temat na forach (http://www.1918.com). Chociaż nie mieli kodu źródłowego, nauczyli się, w jaki sposób można zmodyfikować adres centrum dowodzenia w pliku binarnym trojana, aby wykorzystać go do swoich własnych celów. Próbowali nawet sami stworzyć centrum dowodzenia zawierające bazę danych, w której zapisana została konfiguracja trojana. Później, jeden z tych hakerów znalazł kod centrum dowodzenia oraz strukturę bazy danych i wszystko potoczyło się bardzo szybko. Osoby zaangażowane w to (analizowanie rosyjskiego trojana oraz wykorzystywanie "broni rosyjskiej mafii") brały udział w rozwijaniu, rozprzestrzenianiu oraz popularyzacji Zupacha. Powyższe informacje obrazują, w jaki sposób cyberprzestępcy (w szczególności rosyjscy) działają zespołowo. Poszczególni twórcy wirusów oraz ich grupy tworzą programy trojańskie na sprzedaż. Ci, którzy je kupują, konfigurują je zgodnie z własnymi potrzebami, w efekcie czego oryginalny program jest często trudny do rozpoznania. Zainfekowane maszyny połączone są w botnety, które mogą składać się z setek tysięcy maszyn. Maszyny te są zarządzane poprzez centrum dowodzenia - kodu stworzonego przez innych szkodliwych użytkowników, który również jest na sprzedaż. Botnety te mogą być wykorzystywane do rozprzestrzeniania szeregu różnych szkodliwych programów, które często bezpośrednio konkurują ze sobą. Aby cała ta struktura miała jak najdłuższy cykl życia, mimo wszystkich wysiłków firm antywirusowych oraz organów ścigania, istnieją wyspecjalizowane firmy hostingowe oferujące swoje usługi po cenach od kilkudziesięciu do tysięcy dolarów miesięcznie. Przemysł ten naturalnie przynosi pewne zyski, ponieważ istnieje nie tylko zapotrzebowanie na tworzenie i rozprzestrzenianie trojanów, ale również podaż. Badanie Kapsersky Lab skoncentrowało się jedynie na części góry lodowej: tej złożonej z rosyjskojęzycznych grup hakerów. Naturalnie istnieją też inne grupy - z Ameryki Południowej, Chin, Turcji itd. Każda z tych grup posiada własny sposób działania i charakter, są jednak stosunkowo do siebie podobne. W Internecie nie ma żadnych granic. Ostatnim przykładem może być artykuł, który pojawił się 17 sierpnia w InformationWeek. W artykule tym Don Jackson, ekspert ds. bezpieczeństwa w SecureWorks, powiedział, że zidentyfikował 12 schowków danych, z których większość zawierała od czterech do sześciu tysięcy skradzionych wpisów. W sumie, skradzione zostały dane około 100 000 osób. Dane te zostały skradzione przez trojany zawarte w fałszywych reklamach na dwóch największych stronach rekrutacyjnych, z których jedna to Monster.com. Prawdopodobnie odgadliście już, o jakim trojanie mówił Jackson, i gdzie szkodnik ten wysłał przechwycone dane. Tak, macie rację! To ZeuS, "uniwersalny" kod, który wysłał dane do Russian Business Network.

January 4th, 2007 by Author

Posted in Suspendisse iaculis | Edit | 23 Comment »