Zeus – Die Entwicklung eines Dauerbrenners
Zeus/Zbot hat sich in den vergangenen Jahren zu einem Dauerbrenner
entwickelt. Und ein Ende ist nicht abzusehen, aktuell verbreitet z.B.
das Cutwail/Pushdo-Botnet Mails, die letztendlich zu Infektionen mit Zeus
führen.
Kreative Cyberkriminelle
Zeus wird immer wieder an neue Entwicklungen angepasst. Aktuell z.B. an
den Einsatz von SMS-TAN im Rahmen einer
Zwei-Faktor-Authentifizierung:
Nach der Installation auf den Rechner eines
Opfers versucht der Schädling, auch dessen Smartphone mit einer mobilen
Variante zu infizieren. Die steht für Symbian und Blackberry
zur Verfügung,
die aktuellste Angriffswelle mit der für Symbian als
ZeusMitmo
bezeichneten Mobil-Variante fand im Februar 2011 in
Polen
statt, Ziel war die ING Bank Slaski (Polnische ING Bank). ZeusMitmo
überwacht dann einkommende SMS und sendet sie an die Cyberkriminellen
weiter, wenn sie eine SMS-TAN enthalten.
Im Dezember 2009 begannen die Cyberkriminellen, Cloud-Dienste für ihre
Zwecke zu nutzen: Die
Zeus-Botnets
wurden teilweise über Amazons EC2-Service
gesteuert.
Die
Auslagerung
der Command&Control-Server bzw. genauer -Funktionen in die
Cloud hat für die Cyberkriminellen den Vorteil, dass der betroffene
Netzwerkverkehr nicht einfach blockiert werden kann, da darunter auch die
normalen Nutzer der entsprechenden Angebote leiden würden. Allerdings
lassen sich diese Kommunikationskanäle leicht entdecken und danach
lahm legen, was Amazon auch regelmäßig zügig
getan hat.
Zuvor wurden bereits Web-2.0-Angebote wie Twitter oder Facebook als Kanal
für die Steuerbefehle verwendet, die Cyberkriminellen sind also nicht
mehr nur auf direkte Kommunikationsverbindungen angewiesen.
Eine im Frühjahr 2010
aufgetauchte
und allgemein als
“Version 2.0”
eingestufte
neue Version
des Schädlingsbaukastens brachte eine Vielzahl von Verbesserungen
mit, z.B.
- Zeus 2.0 kann Informationen aus verschiedenen Browsern
einschließlich Firefox ausspähen und den Phishing-Schutz des IE
ausschalten, außerdem ist er an neue Systeme, namentlich Windows 7,
angepasst. - Zeus 2.0 schützt sich mit neuen Verschlüsselungstechniken
vor der Entdeckung durch Virenscanner. - Die Binärdateien werden in Verzeichnissen und Programmen mit
zufälligen Namen unterhalb von%APPDATA%versteckt,
Version 1.x nutzte feste Dateinamen und das Verzeichnis
%WINDIR%\System32. - Zeus 2.0 infiziert nur den lokalen Nutzer statt den gesamten Rechner.
Auch das erschwert seine Entdeckung, dafür richtet er auf Rechnern mit
mehreren Benutzern weniger Schaden an. - Mehrere Versionen von Zeus 2.0 können parallel laufen, ein
Rechner kann dadurch gleichzeitig in den
Botnets
verschiedener Cyberkrimineller hängen.
Auch ein USB-Kartenleser schützt beim Online-Banking nicht zwingend
vor einem erfolgreichen Angriff: Zeus
ist in der Lage,
die Banken-Seite so zu manipulieren, dass das Opfer unbemerkt Geld auf ein
Konto der Cyberkriminellen überweist.
Zeus besitzt übrigens auch einen Kopierschutz: Im März 2010 wurde
berichtet,
dass die aktuelle Version durch ein Hardware-basiertes
Lizenzierungssystem geschützt ist. Beim ersten Start wird ein Fingerprint des
speziellen Rechners erstellt, für den die Entwickler dann einen genau
angepassten Schlüssel erstellen. Diese Kopierschutz erschwert auch die
Analyse
des Schädlings. Was nun der Hauptgrund für die neue Funktion ist, die
Prüfung von Lizenzen oder die Abwehr von Analyseversuchen, ist natürlich nicht
bekannt. Andere Versionen wehren Analyseversuche
ebenfalls ab,
nutzen aber andere Taktiken.
Und wenn die Cyberkriminellen von zu vielen für sie unwichtigen
Informationen überrollt zu werden drohen, können Sie Zeus mit Hilfe der
Konfigurationsoption “Enable No-Shit reports”
anweisen,
nur sehr spezifische Informationen und nur auf bestimmten Bank-Websites
eingegebene Daten zu sammeln. Bei soviel Komfort ist es wohl nicht
verwunderlich, das Zeus bei den Cyberkriminellen so beliebt ist.
“Bot vs. Bot”
Im Oktober 2009 bekam Zeus erstmals Ärger mit einem
KonkurrentenMitbewerber: Der Trojaner Bredo
deaktivierte
auf einem infizierten Rechner vorhandene Zeus-Schädlinge, indem er deren
Dateien verschob. Diese Aktion hatte keine besonders bemerkenswerten
Folgen, aber im Februar 2010 wurde es dann ernst im “Kampf der Botnets”
oder
Bot War:
Die Entwickler des Schädlingsbaukastens
SpyEye
erweiterten ihre Schädlinge um die
Funktion,
auf einem infizierten Rechner vorhandene Zeus-Schädlinge zu übernehmen
und/oder zu deinstallieren. Das
funktionierte
aber nur mit einem Teil der Zeus-Varianten. Wie ein erfolgreiches Löschen
abläuft, hat Symantec in einem
Video
gezeigt.
Brian Krebs beschrieb diese
Rivalität
ausführlich. Zumindest anfangs waren die “Übernahmeversuche” von SpyEye
nicht besonders erfolgreich,
die Rivalität endete aber damit, dass der Zeus-Code an den SpyEye-Entwickler
übergeben wurde.
Das Ergebnis soll wahrscheinlich ein neuer
“Super-Trojaner”
(oder eher Super-Schädlingsbaukasten oder Superschädlings-Baukasten)
werden. Anfang Februar 2011 berichtete Brian Krebs dann, dass der Zeus-Quellcode
zum Kauf angeboten wird.
Was genau da hinter den Kulissen abläuft, weiss natürlich niemand, man
kann nur spekulieren, wie es z.B. auch Francois Paget von McAfee im
November 2010
getan hat.
Fakt ist, dass Zeus, sowohl als Schädling als auch als Baukasten dafür
sowie als Botnet daraus immer noch im Einsatz ist und auch neue Tricks
lernt. Entweder, da entwickelt jemand das Toolkit weiter, oder einzelne
Cyberkriminelle erweitern ihre eigene Version um für sie notwendige
Funktionen.
Ausführlich untersuchter Schädling
Zeus ist ein sehr gut untersuchter Schädling. Ebensoviel Interesse wie Zeus
bekam wohl nur Stuxnet. Die folgende Liste ist bei weitem nicht
vollständig und stellt nur eine willkürliche Auswahl dar:
- Sourcefire:
“VRT Labs – Zeus Trojan Analysis”
(ohne Datum) - Schweizerische Melde- und Analysestelle Informationssicherung
(MELANI):
“Halbjahresbericht 2008/1”,
Anhang 10.1: “Professionalisierung der Internetkriminalität am
Beispiel ZeuS” - ThreatExpert Blog:
“Time to Revisit Zeus Almighty”
(September 2009) - Fortinet:
“Zeus: God of DIY Botnets”
(Oktober 2009) - Symantec: “Zeus: King of the Bots” (November 2009)
(PDF) - Dell SecureWorks:
“ZeuS Banking Trojan Report”
(März 2010) - Trend Micro: “ZeuS: A Persistent Criminal Enterprise”
(März 2010)
(PDF) - Trend Micro: “File-Patching ZBOT Variants: ZeuS 2.0 Levels
Up” (Oktober 2010)
(PDF) - Insbesondere über die finanziellen Auswirkungen der Angriffe
berichtet Brian Krebs regelmäßig in seinem Blog
Krebs on Security
(Suche nach
Zeus
darin)
Update 12.5.2011:
Inzwischen ist der Zeus-Sourcecode im Internet aufgetaucht. Mehr darüber erfahren Sie in der
nächsten Folge!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer – Schadsoftware, die sich selbst verbreitet
- Trojaner – Der Feind im harmlosen Programm
- Zeus
-
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Zeus – Die Entwicklung eines Dauerbrenners
- Zeus-Sourcecode im Internet aufgetaucht
- Zeus wird mobil – jetzt auch auf Android
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits – Schadsoftware im System
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zeus, Carberp und Khelios – Drei Schläge gegen Botnets
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr
Vorschau anzeigen
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt