Analiza bota Zeus

Data publikacji: 11/01/2011, CERT Polska

Zeus jest jednym z największych botnetów funkcjonujących obecnie w Internecie. Boty Zeusa – Zboty – to konie trojańskie wyspecjalizowane w kradzieży danych. Jeśli komputer użytkownika jest zainfekowany, bot rejestruje loginy i hasła użytkowników próbujących zalogować się do serwisów banków internetowych, instytucji finansowych lub sklepów. Dodatkowo, infekcja powoduje, że zabezpieczenia typu SSL są zupełnie bezużyteczne, ponieważ boty ingerują w węwnętrzne mechanizmy przeglądarek, które informują o nawiązaniu bezpiecznego połączenia. Zespół CERT analizował i przygotował raport na temat pozyskanej próbki bota Zeusa.

Wielkość botnetu Zeus szacuje się na kilkanaście milionów zainfekowanych komputerów, z czego 3.6 milionów znajduje się w USA. Ofiarą botnetu padły m. in. przedsiębiorstwa: Bank of America, NASA, Monster, ABC, Oracle, Cisco, Amazon oraz BusinessWeek. Do 29. października 2009 roku botnet wysłał ponad 1.5 milionów wiadomości phishingowych do serwisu Facebook. W dniach 14–15 listopada 2009 botnet wysłał około 9 milionów sfałszowanych wiadomości podszywając się pod firmę Verizon Wireless.

Badacze spekulują na temat wzajemnego związku Zeusa z botem SpyEye, niektórzy twierdzą, że SpyEye korzysta z kodu Zeusa i jest jego następcą. W przeciwieństwie do innych botnetów – np. Conficker – Zeus nie posiada własnego mechanizmu dalszej propagacji. Infekuje komputery pracujące pod kontrolą systemu operacyjnego Windows, a infekcje następują zazwyczaj w wyniku działania technik typu drive-by download, a nie poprzez automatyczne wyszukiwanie innych podatnych systemów. Infekcja Zbotem przebiega następująco: po uruchomieniu droppera (programu instalującego trojana) do procesu winlogon.exe (starsze wersje) lub explorer.exe (nowsze wersje) wstrzykiwany jest wątek zawierający złośliwy kod. Wątek ten pobiera plik konfiguracyjny zawierający listę atakowanych banków, stron, wykorzystywane wektory ataków, etc.. Po załadowaniu informacji z pliku konfiguracyjnego Zbot przechwytuje krytyczne dla bezpieczeństwa użytkowników informacje (głównie informacje logowania) i okresowo wysyła je do serwera CC.

Zapraszamy do lektury raportu!