Кто хозяин вашего счета? Анализ троянца ZeuS (Zbot)

Опубликовать в своем блоге livejournal.com

25 05 2010 | Рубрика: Аналитика, Безопасность | |

Кто хозяин вашего счета? Анализ троянца ZeuS (Zbot)

Не раз я писал в своих аналитических материалах о новых технологиях, которые используются вирусописателями для новейших видов угроз. Хотя, на текущий момент эти технологии уже в порядке вещей, а некоторые из них уже успели умереть, так и не успев развиться до прогнозируемых вариантов использования. Причин этому огромное количество, однако сегодня речь пойдет не о них.

На самом деле, идея, которой придерживались черные хакеры когда-то давно уже практически перестала существовать. Основная цель вирусописателей теперь – деньги, что неудивительно в наш век торгово-рыночных отношений. Всем хочется этих бумажек, да побольше.

Кстати, определение «бумажки» в отношении денежных средств уже не актуально, ибо электронные системы платежей развились до такой степени, что в наличности просто нет необходимости. Да и бытует мнение, в большинстве случаев не безосновательное, что надежнее деньги хранить именно в электронном виде (банки, системы платежей, интернет-кошельки и т.п.). В данной статье, я хотел бы остановиться на уязвимости как раз таких способов хранения денег. Правда, основной баг в данном вопросе не находится в банковских/платежных системах, в большинстве своем. Все как раз наоборот – основная опасность для своих же денег ВЫ, а точнее ВАШ компьютер. Странно, но факт…

На протяжении всего развития мира вредоносного программного обеспечения троянские программы занимали определенную нишу и держались в ней стабильно. Конечно, бывали и падения активности и т.п. вещи, но троянцы всегда делали проблемы, вне зависимости от процента свое распространенности. Именно это и отличает их от своих собратьев, которые то приходили, то уходили (чистые полиморфики) или же, нахлынув эпидемией, уходили в тень (сетевые черви).

Я бы хотел поговорить о троянце, который появился в 2007 году и практически сразу же приобрел конвейерный метод изготовления – Zbot или ZeuS, как его назвал сам автор. С самого начала программа была рассчитана на продажу, именно поэтому был создан и генератор, который позволял получить любую версию, которая необходима заказчику. Однако, в середине 2007 года автор прекратил продажу своего детища. С чем это связано – вопрос, вполне возможно, что человек оказался не из жадных и, заработав себе на хорошенькую старость, ушел в тень.

Однако, генератор в итоге попал в руки хакеров, которые оказались не настолько меролюбивыми и в 2008 году троян опять засветился на рынке вредоносного ПО (рис.1). К 2009 году число модификаций в месяц перевалило за 5000 – колоссально и очень плохо для пользователей. Естественно, те, кто продовал троянца приложил максимум стараний, чтобы у антивирусных компания возникли сложности с определением новых модификаций. Обычно, это заключалось в шифровании по новым методам, зачастую созданным самими распространителями.

рис.1 График распространения вируса ZeuS (Zbot)

В итоге, по сегодняшний день в базах антивирусов значатся более 40 000 модификаций Zbot’а.

Чем же угрожает троянец простым пользователям? Ответ прост – в основном сбор информации о финансовых транзакциях и зомбирование компьютеров-жертв. Начнем, пожалуй, с первого. Именно информация о финансовых транзакциях пользователей является наиболее ценной для злоумышленников.

рис.2 Ориентация троянца ZeuS (Zbot) на различные доменные зоны.

ZeuS, нахлдясь на зараженной машине, следит за действиями пользователей и проверяет места сохранения паролей – еще один камень, в огород менеждеров паролей у браузеров. Но, даже если вы будете держать все свои пароли в голове, все равно трой до них доберется. Дело в том, что он использует ряд интересных технологий, которые наделяют его не менее интересными возможностями, предлагаю рассмотреть их поближе:

Итак, вы, как правильный пользователь, не юзаете всякие тузлы для сохранения паролей, а все держите в голове. Это безусловно хорошо, но функции кейлоггера у ZeuS’а все равно позволят ему зафиксировать нажатия клавиш и получить необходимую информацию.
А я буду пользоваться экранной клавиатурой – скажете вы и опять попадете в лапы трояна. При нажатии левой клавиши мышки Zbot делает снимок участка вокруг курсора и информация о логине/пароле все равно попадает в руки к злоумышленникам.
Кроме того, трой имеет возможность обрабатывать код получаемой страницы раньше браузера, итог – форма для ввода pin’а банковской карты, форма, о наличии которой банк даже не подозревает. Упс, и информация снова у злоумышленника.
Едем далее и получаем следующую пилюлю, которая разбивает в пух и прав надежность сертификатов. Ведь именно хранилища сертификатов и сканируются ZeuS, для того, чтобы передать информацию хозяину, опять же.

рис.3 Ориентация троянца ZeuS (Zbot) на конкретные сайты

Ну как? Впечатляет? Авторы хорошенько постарались, оттачивая функционал в течении периода развития зловреда. Вполне логичным будет вопрос «Неужели мы все умрем?», на что я отвечу – непременно, но вот как скоро – решат технологии. Наиболее простым и в то же время действенным способом защиты от подобных ситуаций является система привязки финансовых транзакций к номеру мобильного телефона. Оплатил счет, на телефон пришел пин-код, подтвердил и тогда платеж зафиксировался. Весьма действенно, учитывая, что хлопот у злоумышленника резко прибавится, если вообще не исчезнет возможность пользоваться вашими денежными средствами.

Еще один вариант – usb-брелока, которая выдается банком при заключении договора с клиентом. Кстати, этот вариант имел несколько неприятных инцидентов в прошлом, когда относительно слабые системы защиты данных на этих брелоках, позволяли таки злоумышленникам получить доступ к важной информации.

рис.5 Процент заражений ZeuS (Zbot) по странам

Хотелось бы заострить ваше внимание на том, что даже если у злоумышленника и не получится получить данные финансового характера, он все равно сможет воспользоваться вашей машиной как узлом ботнета и, скажем, устроит ДОС за определенную сумму денег. Зомбированные ZeuS компьютеры и по сей день обитают в интернете в огромных количествах.

Интересный случай произошел в начале 2009 года, когда около 100 000 компьютеров одновременно перестали работать. Все это случилось из-за того, что из командного центра ботнета ZeuS (а именно к нему и относились эти 100 000 машин) была отправлена команда на уничтожение операционной системы. Позже, после мониторинга хакерских форумов, стало ясно что командный центр был взломан другим хакером и уничтожен такой командой.

Рассказывая о методах ZeuS я забыл внести некоторую ясность, которая заключается в том, что его способности «включаются» только тогда, когда пользователь посещает некоторые их сайтов (список корректируется в настройках трояна). Тем самым, злоумышленники убирают весь мусор из присылаемой информации. Ниже приведены две диаграммы (рис.2 и 3), которые показывают «пристрастия» троя к доменным зонам и конкретным доменным именам.

Что же касается «сетки» серверов сбора краденой информации и центров управления, то они показаны на рисунках 4 и 5. Обратите внимание, что в списке эпицентров находится и Украина.

Что же касается способов индивидуальной защиты, то тут нету каких-то сверхъестественных принципов. Все как всегда – не открывайте непонятные и незнакомые аттачменты, не нажимайте на всякие урлы из асей и емэйлов (особенно популярны в последнее время http://vkrontakte.ru и т.п.). И отключите JS и ненужные плагины – это сильно повысит ваши шансы на «выживание», пускай и немного снизит функциональность.

Это все, что я хотел рассказать. Как видите, порой стоит не терять бдительность, даже если пик активности зловреда значительно снизился. Процент заражений все равно имеется, пускай и маленький, и в этот процент вы имеете шанс попасть.

P.S. : В статье использован аналитический материал эксперта Лаборатории Каспесркого – Дмитрия Тараканова.

Евгений Кучук
q@sa-sec.org