Tag: P2P

ZeuS-P2P internals – opis wykorzystywanych mechanizmów

Data publikacji: 07/06/2013, CERT Polska

zp2p_ico

Na początku 2012 roku pisaliśmy o pojawieniu się nowej wersji ZeuSa – nazywanej ZeuS-P2P lub Gameover. Wykorzystuje ona sieć P2P (Peer-To-Peer) do komunikacji oraz wymiany danych z Centrum Zarządzania CnC. Malware ten jest nadal aktywny – zagrożenie od ponad roku monitorowanie oraz badane przez CERT Polska. W drugiej połowie 2012 roku dotknęło ono bezpośrednio Polskich użytkowników – konkretnie użytkowników bankowości elektronicznej.
Czytaj więcej

ZeuS – wariant P2P+DGA – analiza nowego zagrożenia

Data publikacji: 04/01/2012, CERT Polska

zeus p2p

Jesienią 2011 roku zarejestrowano infekcje nowym złośliwym oprogramowaniem. Analiza mechanizmu uruchamiania złośliwego oprogramowania, proces jego ukrywania, czy też sposób składowania konfiguracji wskazywały na ZeuSa. Jednak podczas monitorowania zainfekowanych maszyn nie udało się zauważyć charakterystycznej dla tego trojana komunikacji z centrum C&C. Po głębszej analizie okazało się, iż próbka to najprawdopodobniej nowa wersja trojana ZeuS oparta na upublicznionym przypadkiem kodzie.

zeus3_infograf-300x243

W nowej wersji trojana autorzy skupili się na eliminacji najsłabszego ogniwa – scentralizowanego systemu dystrybucji informacji.
Poprzednie wersje ZeuS-a oparte było o jeden (lub kilka) zdefiniowanych adresów, pod którymi dostępne było centrum zarządzania C&C. Pozwalało to łatwo namierzyć takie adresy i poprzez ich blokowanie uczynić botnet bezużytecznym. Badany wariant trojana wykorzystuje dwa nowe kanały komunikacyjne do pobierania nowych rozkazów (rys. po prawej):

 

  1. Komunikacja w sieci peer-to-peer
  2. Mechanizm Generowania Domen

W internecie dostępne były już wcześniej informacje na temat nowego wariantu zeusa (np: abuse.ch), ale – z informacji jakie posiadamy – dotychczasowa praca badawcza skupiała się na zarejestrowaniu i monitorowaniu ruchu do domen zeusowych. Podczas naszej pracy skupiliśmy się na poznaniu oraz monitorowaniu mechanizmów wymiany informacji przez sieć P2P oraz próbie zebrania danych na temat jej kształtu.

Czytaj więcej