Crimeware: Slik fungerer det

Etter at jeg la ut "Online bank: Hvor trygt er det?", Innså jeg at jeg hadde flere spørsmål. Jeg ønsket spesielt å finne ut om skadelig programvare som er beskrevet i den artikkelen. Den første undersøkelsen min begrenset valgene til to trojanere, Zeus og URLZone. Stewart var enig, men kvalifiserte sin uttalelse. Han imponerte over meg det faktum at ingenting er helt sikkert, fordi det er i fleng.

Stadig skiftende risiko

At begge trojanskittene er vellykkede, har ikke hindret utviklerne sine i å stadig forbedre feilkoden. Mr. Stewart kaller det: "Stadig endrende risiko". Han forklarte videre at nettkriminalitet er en virksomhet, og for å opprettholde en inntektsstrøm, må skurkene sørge for at produktene deres fungerer.

Denne flytbarheten gjør i beste fall å identifisere crimeware "etter faktum", og hvorfor sikkerhetsforskere har en vanskelig oppgave. De finner ut hvordan et stykke crimeware fungerer. Likevel kan det neste rapporterte tilfellet bruke en litt annen tilnærming. Når det er sagt, vil jeg fremdeles se på hva vi vet om Zeus og URLZone.

Zeus: Til leie

Zeus er en trojan, et modulært sett og til salgs: Prisantydningen varierer, og ser ut til å være rundt 700 dollar. Sikkerhetseksperter ved RSAs Anti-Fraud Command Center har oppdaget hundrevis av forskjellige varianter av Zeus Trojan-settet, hver versjon som kan infisere tusenvis av datamaskiner hver dag.

Jeg er ikke sikker på om vi skal bli overrasket eller ikke, Zeus har en EULA. Folk på Symantec mens de undersøkte Zeus fant EULA og kunne oversette følgende lysbilde:

  1. Har ikke rett til å distribuere produktet til forretningsmessige eller kommersielle formål som ikke er forbundet med dette salget.
  2. Må ikke demontere / studere den binære koden til botbyggeren.
  3. Har ingen rett til å bruke kontrollpanelet som et middel til å kontrollere andre botnett eller bruke det til noe annet formål.
  4. Har ikke rett til å bevisst sende noen del av produktet til antivirusfirmaer og andre slike institusjoner.
  5. Forplikter seg til å gi selgeren et gebyr for enhver oppdatering av produktet som ikke er forbundet med feil i arbeidet, samt for å legge til ekstra funksjonalitet.

I motsetning til de fleste EULAer, er denne kort og til poenget. Jeg må si at jeg ikke har sett punkt fire på mange normale EULAer. For å vise at de er seriøse, inkluderer kit-utviklerne en advarsel (inne i den røde boksen):

"I tilfeller av brudd på avtalen og blir oppdaget, mister klienten all teknisk support. Dessuten vil den binære koden til din bot straks bli sendt til antivirus-selskaper."

Binær kode

Jeg forsto ikke helt advarselen, før jeg fikk vite at Zeus regnes som en binær generator. Det betyr at hver iterasjon av Zeus-trojanen er forskjellig. Det gjør sikkert en demper på bruken av antivirus signaturfiler.

Bank crimeware

Det ser ut til at Zeus handler om å stjele penger fra folk som banker online. Dette fremgår av mulighetene som er innebygd i Zeus:

  • Finn når bankinformasjon blir lagt inn.
  • Se skjermbilder i sanntid og fjernstyrt det som vises på skjermen.
  • Stjel passord og annen påloggingsinformasjon ved å bruke avanserte nøkkelloggere.
  • Krypter stjålet informasjon og bruk Jabber IM til å overføre informasjonen til angriperens servere.

Stewart påpekte at bruk av Jabber tilfører en ny dimensjon til Zeus. Det gjør det mulig for nettkriminelle å få påloggingsinformasjon i sanntid. Det betyr at det er mulig at engangs passord fortsatt er gyldige. RSAs FraudAction Research Lab forklarer prosessen:

  1. En variant av Zeus Trojan infiserer legitime brukers datamaskiner gjennom et nettangrep som er initiert av en trojansk herder.
  2. Legitimasjon som er stjålet av disse gjetere sendes til Zeus Trojan herder's drop server.
  3. Jabber IM-modulen søker på dropserverns database for kontoer som tilhører brukere fra spesifikke organisasjoner (vanligvis finansinstitusjoner).
  4. Jabber IM-modulen overfører denne spesifikke kontoinformasjonen gjennom en Jabber 'avsender'-konto.
  5. Kriminelen mottar raskt de målrettede, stjålne brukeropplysningene innhentet av Jabber 'mottaker' -konto.
  6. Trojan-herderen har nå kompromitterte brukeropplysninger, som gjør at han kan logge seg på kontoen og utføre falske pengeoverføringer.

Jeg trodde opprinnelig at Zeus var mer automatisert. Stewart rettet feilen min og nevnte at Zeus krever betydelig brukerinngrep. Ironisk nok er det derfor Zeus fungerer så bra. Nettkriminelle har fleksibilitet til å reagere på nye formater eller endringer i banktransaksjonsprosessen. Skjermbilder pluss nøkkelloggere gir angripere alt de trenger for å gjøre ulovlige transaksjoner.

Virker Zevs som krimineltøyet som ble brukt til å utnytte Fermas bankkonto? La oss ta en titt på URLZone før du bestemmer deg.

URLZone: Mer sammensatt

I den andre enden av spekteret er URLZone. Et trojansk sett som tilsvarer Zeus i utfall, men veldig forskjellig i hvordan det fungerer. Denne forskjellen gjør URLZone mer komplisert, sannsynligvis hvorfor den ikke har vært ute i naturen så lenge som Zeus. Det kan også være grunnen til at jeg ikke fant noen informasjon om hvordan den distribueres eller om kostnadene.

Med URLZone Trojan-settet får cybercriminal et program som heter URLZone Builder. Angriperen bruker programmet til å lage en konfigurasjonsfil som inneholder informasjon om bankportalen som målrettes. Senere vil vi se hvor filen kommer inn.

For å laste URLZone på datamaskinens offer bruker angripere et verktøysett kalt LuckySploit. Den skadelige programvaren utnytter sikkerhetsproblemer i nettlesere Firefox, Internet Explorer og Opera på datamaskiner som kjører Windows-operativsystemer.

Førstegangs oppsett

Når URLZone er lastet på datamaskinen, oppretter den en versjons-ID og overfører denne informasjonen tilbake til en kommando- og kontrollserver. Neste trinn er å laste ned konfigurasjonsfilen fra kommando- og kontrollserveren, kryptere den og lagre filen lokalt. URLZone legger også til seg oppstartsregisteret, så det vil være aktivt når datamaskinen kjører.

Slik fungerer URLZone

Når den er aktivert, sjekker URLZone inn med kommandoen og kontrollserveren med noen få timer for oppdateringer. URLZone sjekker også hele tiden for å se om en forekomst av fil eller nettleser er åpen.

Hvis URLZone finner en aktiv nettleser, kobles den umiddelbart til den og ser etter HTTPS-trafikk. Her blir URLZone slu. Den samler inn HTML-data (relatert til HTTPS-trafikken) som blir sendt med POST-metoden, som mer enn sannsynlig vil være påloggingsinformasjon eller transaksjonsinformasjon.

Hvis slike data blir funnet, åpnes konfigurasjonsfilen og det skjer noen interessante ting. La oss følge trinnene, som skissert av Finjans malware-analyse av URLZone:

  1. Hvis nettstedet samsvarer med bankportalen som er spesifisert i konfigurasjonsfilen, vil skadelig programvare fange skjermbilder fra offerets datamaskin og sende dem til en kommando- og kontrollserver.
  2. Når brukeren bekrefter den økonomiske transaksjonen, endrer URLZone kontonummer og beløp til det konfigurasjonsfilen spesifiserer.
  3. URLZone sender deretter filen til kommandoen og kontrollserveren.
  4. Bankportalen mottar transaksjonsinformasjonen og fullfører overføringen.
  5. URLZone presenterer transaksjonsinformasjon brukeren forventer for å unngå mistanke.

Så vidt offeret vet, var transaksjonen en suksess, som den var. Det er bare at mengden av penger sannsynligvis er forskjellig og pengene ble overført til en pengemulekonto, ikke der offeret hadde til hensikt.

Mr. Stewarts tanker

En over-ridende rektor fortsatte å surfe mens Mr. Stewart snakket. Jeg ble påminnet om en anekdote som bestefaren min fortalte meg for mange år siden:

"En bjørn jaget to jegere. Den ene jegeren spurte den andre om han trodde han kunne løpe ut bjørnen. Den andre jegeren svarte at han ikke måtte, og nevnte at alt han måtte gjøre var å løpe ham ut."

I likhet med bjørnen vil nettkriminelle alltid følge det enkleste målet. Akkurat nå, det er oss i USA. Enkelt sagt, vi står bak når det gjelder å sikre online bank. Det var tydelig i kommentarene fra europeiske TechRepublic-medlemmer.

Mr. Stewart stoppet ikke der. Han uttalte at når amerikanske finansinstitusjoner samler det, vil cyberkriminelle finne ut det neste enkleste målet. Med det i bakhodet forklarte han at det bare er to metoder for å forhindre online-transaksjoner fra å bli kapret:

  • Bruk en dedikert datamaskin som kun kjører operativsystemet og nettleserapplikasjonen. Ingen andre applikasjoner (spesielt e-post) skal installeres. Forsikre deg om at operativsystemet og nettleseren er helt oppdatert. Endelig skal denne datamaskinen bare brukes til å få tilgang til de nødvendige økonomiske nettportalene, ingen annen nettlesing.
  • Bruk en kommunikasjonsmetode utenfor båndet (SMS-meldinger fra brukeren til banken) for å bekrefte transaksjonen.

Mr. Stewart har meg overbevist om dette nå. Andre metoder fungerer kanskje, men hvor lenge?

Siste tanker

I forrige artikkel så vi ut til å tro at virtuell maskin, LiveCD eller sandkasseteknologi kan være svaret. Endrer denne nye informasjonen tankene dine om de sikre alternativene? Hvilken trojan tror du ble brukt til å stjele 447 000 dollar fra Ferma, Zeus eller URLZone?

Jeg vil takke Joe Stewart og Elizabeth Clarke fra SecureWorks for at de tok seg tid til å svare på spørsmålene mine og ga ny innsikt i et sammensatt emne.

"Å forbedre er å endre; å være perfekt er å endre ofte"

Winston Churchill (1874-1965)

prøv {

var pageTracker = _gat._getTracker ("UA-9822996-4");

pageTracker._trackPageview ();

} fangst (feil) {}

// ->

Redaktørens valg

  • Transpersoner i tech: Hvorfor denne "progressive" industrien har mer arbeid å gjøre

  • Python spiser verden: Hvordan en utviklerens sideprosjekt ble det hotteste programmeringsspråket på planeten

  • Hvordan iRobot brukte datavitenskap, sky og DevOps for å designe sine neste generasjons smarte hjemme-roboter

  • Utover PCen: Lenovos ambisiøse plan for fremtiden for databehandling

  • Rett opp: Hvordan Kentucky-bourbonindustrien blir høyteknologisk

  • Inside the Raspberry Pi: Historien om $ 35-datamaskinen som forandret verden

Kommenter og del: Crimeware: Slik fungerer det

Av Michael Kassner

Informasjon er mitt felt ... Å skrive er min lidenskap ... Å koble sammen de to er mitt oppdrag.

  • | Full Bio
  • | Se alt av Michaels innhold

Relaterte temaer:

Sikkerhetsprogramvare CXO Maskinvare for mobilitet Datasentre Cloud Security på ZDNet Vis kommentarer Skjul kommentarer Logg inn for å kommentere
  • Min profil
  • Logg ut
| Kommentarer til vanlige spørsmål | Retningslinjer for fellesskapet

Bli med i diskusjon

Logg inn for å kommentere Legg til din kommentar

© Copyright 2020 | mobilegn.com