Lut
27

ZeuS – kilka słów o nim

autor: p____h  //  ::medium::, Security

Banki zaczynają ostrzegać o niebezpieczeństwie. Do polskiej sieci zawitała wersja ZeuSa, która potrafi omijać dwuskładnikowe uwierzytelnienie. Pojawia się coraz więcej informacji o tym malware. Rzućmy okiem na pare szczegółów opisujących jego działanie.


Głównym targetem ZeuSa są banki internetowe. Jego działanie, zmierzające do wykradnięcia funduszy niczego nieświadomych użytkowników skłania mnie do porównania go do rootkitów Ring-3. Dlaczego? Ano dlatego, że w tym przypadku opiera się na form grabbingu.
Form grabbing to nic innego jak przechwytywanie danych wysyłanych przez przeglądarkę. Podstawową techniką jest tutaj API hooking. Malware podmienia funkcje biblioteczne przeglądarki, odpowiedzialne za przesyłanie/odbieranie danych. Nie ważne więc czy dane przesyłane są przez SSL, czy nie – i tak zostaną przechwycone. Osoby, które chciałyby pobawić się w pisanie własnego form grabbera, powinny zainteresować się następującymi funkcjami:
HttpSendRequestA (IE 6 i starsze)
HttpSendRequestW (IE 7 i kolejne wersje)
PR_Write (Firefox)
WSASend (Chrome).
W skrócie podmieniamy zawartość danej funkcji [warto zapoznać się z GetProcAddress()], tak, aby wskazywała na napisany przez nas kod. Kod ten powinien ściągać i zapisywać gdzieś na dysku argumenty danej funkcji. ZeuS nie wykorzystuje wiec tutaj konkretnej luki w przeglądarce, on po prostu atakuje środowisko, w którym działa aplikacja.

Sam plik bota ZeuS składa się z czterech segmentów (.text, .data, .resources, .imports). Podczas infekowania, tworzy swoją kopię: C:/Windows/system32/sdra64.exe. Na końcu tego pliku generowanych jest kilka losowych bajtów, które chronią go przed rozpoznaniem przez sygnatury antywirusów. Następnie sdra64.exe nadaje sobie atrybuty pliku systemowego i pliku ukrytego, stąd użytkownicy z domyślnie skonfigurowanym Explorerem nie zobaczą go. Następnie korzystając z ntdll.dll malware pobiera MAC time (Modification, Access, Creation) i ustawia go dla sdra64.exe. Dzięki temu plik ten wygląda jak plik systemowy (posiada datę instalacji Windowsa).
ZeuS tworzy również folder C:/WINDOWS/system32/lowsec. Przechowywane są tam dwa pliki: local.ds i user.ds. Zawierają one dane konfiguracyjne bota oraz przechwycone informacje (które zostaną przesłane na serwer). Oczywiście przez napisane hooki Explorer nie będzie widział tego folderu. Jednak aby manualnie upewnić się, że nie mamy go na swoim dysku, wystarczy spróbować utworzyć folder właśnie o takiej nazwie (%System%\lowsec) – system powiadomi nas stosownym komunikatem, gdy taki folder będzie już istniał (co oznacza, ze najprawdopodobniej mamy ZeuSa).

ZeuS bawi się również naszym rejestrem. Ścieżka do sdra64.exe dodawana jest do HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Userinit co sprawia, że malware ładuje się przy każdym starcie system. Co ciekawe, ZeuS potrafi również obejść filtr phisingowy przeglądarki IE7 (i nowszych) zerując Enable i EnableV8 w HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter.

ZeuS  również doskonale ukazuje jak lekkomyślni mogą być użytkownicy Internetu [czyt. jak niska jest świadomość społeczeństwa dotycząca zagrożeń ze strony malware]. Po pierwsze – drive-by-download. Właśnie tą metodą ataku większość koni trojańskich atakuje komputery. Najpierw za pomocą inżynierii socjalnej użytkownik nakłaniany jest do odwiedzenia zainfekowanej witryny (tadam! – w słowniku bezpieczeństwa (i zdrowego rozsądku) nie istnieje słowo ciekawość), następnie złośliwe oprogramowanie pobiera się korzystając z luk niezaktualizowanych przeglądarek (tadadadam! – podstawowa zasada bezpieczeństwa: zawsze używaj zaktualizowanych wersji oprogramowania). Takim oto pięknym sposobem ZeuS dostaje się systemu… ale to nie koniec. Teraz zainfekowana ofiara odwiedza stronę swojego ulubionego banku. Zwykle banki internetowe korzystają z haseł maskowanych, prosząc o kilka znaków (z określonej pozycji). Tymczasem ZeuS prosi o całe hasło. I już tutaj powinna zapalić nam się lampka ostrzegawcza – phising alert! Brnijmy jednak dalej. Tym razem fałszywa strona (wyświetlana przez malware) pyta nas o numer i model telefonu komórkowego przypisanego do konta bankowego… grzecznie go podajemy, a co tak naprawdę powinniśmy zrobić? Ano zastanowić się po co bank pyta o nasz numer (skoro podawaliśmy go juz raz przy zakładaniu konta)? Poza tym po co bankowi model naszego telefonu? Pewnie po to, aby przesłać nam „certyfikat bezpieczeństwa”… ale chwileczkę! Przecież polityka bezpieczeństwa zabrania bankom wysyłania jakichkolwiek aplikacji na naszą komórkę (zresztą prawie na każdej stronie banku internetowego wielkimi literami napisane jest, że bank nigdy nie przesyła do nas aplikacji ani nie prosi o poufne dane). No ale skoro już… (ZeuS) nam taką aplikację przesłał, to warto byłoby ją pobrać. Tak więc ściągamy pliczek .cab (Windows Mobile) lub .jad (BlackBerry) lub .sis (Symbian) [posiadacze IPhona mogą się uśmiechnąć, wymóg ściągania z AppStore’a teoretycznie uniemożliwia zainfekowanie – o jailbreaku nie mówimy 🙂 ]. Co robi ten „certyfikat”? Przeprowadza atak Man in the Mobile. Złośliwa aplikacja, którą ściągnęliśmy na nasz telefon (kolejna złota zasada bezpieczeństwa – nie wiesz co robi aplikacja, nie zbliżaj się do niej) przechwytuje wszystkie odebrane SMSy i przesyła je do operatora ZeuSa. I w taki właśnie sposób, kiedy bank prześle nad kod mTAN (SMSowy kod do potwierdzenia bankowej operacji online), zostanie on przechwycony przez Zeusa. Malware złamało dwuetapowe uwierzytelnienie – a furtkę otworzyliśmy mu my sami. ZeuS ma nasz login, hasło, odczytany kod SMS, w skrócie, ma całkowity dostęp do naszego konta bankowego.

ZeuS to potężny malware. Nie chodzi tu tylko o stopień obfuskacji (zaciemnienia) kodu, czy też szyfrowanie połączenia na linii bot-serwer. Mamy tu również do czynienia z potężnym atakiem socjotechnicznym. ZeuS potrafi oszukać aż trzykrotnie: w chwili infekowania komputera, podczas wyłudzania hasła (phising) oraz podczas omijania tokenu SMS. Ta najgroźniejsza wersja (przeprowadzająca atak Man in the Mobile) pojawiła się także w Polsce. Oznacza to, że poziom wiedzy społeczeństwa na temat bezpieczeństwa powinien być stale zwiększany (tak jak zwiększany jest poziom zaawansowania i szkodliwości produkowanego malware). Podobnych do ZeuSa złośliwych aplikacji będzie jeszcze więcej – zresztą już teraz w internecie można kupić specjalne generatory do tworzenia takich koni trojańskich. Na koniec zapraszam do zapoznania się z krótkim filmikiem na temat ZeuSa.

  

2 komentarze to “ZeuS – kilka słów o nim”

  • IPhone nie?! Przecież w Polsce używa go najwiecej ludzi!

  • „w Polsce” – no właśnie 🙂 Polska nie była głównym targetem, w który uderzał ZeuS, to że to malware pojawiło się w naszym kraju było tylko kwestią czasu.

Dodaj komentarz

*

Audio-CAPTCHA