Zeus - Die Entwicklung eines Dauerbrenners
Zeus/Zbot hat sich in den vergangenen Jahren zu einem Dauerbrenner entwickelt. Und ein Ende ist nicht abzusehen, aktuell verbreitet z.B. das Cutwail/Pushdo-Botnet Mails, die letztendlich zu Infektionen mit Zeus führen.
Kreative Cyberkriminelle
Zeus wird immer wieder an neue Entwicklungen angepasst. Aktuell z.B. an den Einsatz von SMS-TAN im Rahmen einer Zwei-Faktor-Authentifizierung: Nach der Installation auf den Rechner eines Opfers versucht der Schädling, auch dessen Smartphone mit einer mobilen Variante zu infizieren. Die steht für Symbian und Blackberry zur Verfügung, die aktuellste Angriffswelle mit der für Symbian als ZeusMitmo bezeichneten Mobil-Variante fand im Februar 2011 in Polen statt, Ziel war die ING Bank Slaski (Polnische ING Bank). ZeusMitmo überwacht dann einkommende SMS und sendet sie an die Cyberkriminellen weiter, wenn sie eine SMS-TAN enthalten.
Im Dezember 2009 begannen die Cyberkriminellen, Cloud-Dienste für ihre
Zwecke zu nutzen: Die
Zeus-Botnets
wurden teilweise über Amazons EC2-Service
gesteuert.
Die
Auslagerung
der Command&Control-Server bzw. genauer -Funktionen in die
Cloud hat für die Cyberkriminellen den Vorteil, dass der betroffene
Netzwerkverkehr nicht einfach blockiert werden kann, da darunter auch die
normalen Nutzer der entsprechenden Angebote leiden würden. Allerdings
lassen sich diese Kommunikationskanäle leicht entdecken und danach
lahm legen, was Amazon auch regelmäßig zügig
getan hat.
Zuvor wurden bereits Web-2.0-Angebote wie Twitter oder Facebook als Kanal
für die Steuerbefehle verwendet, die Cyberkriminellen sind also nicht
mehr nur auf direkte Kommunikationsverbindungen angewiesen.
Eine im Frühjahr 2010 aufgetauchte und allgemein als "Version 2.0" eingestufte neue Version des Schädlingsbaukastens brachte eine Vielzahl von Verbesserungen mit, z.B.
- Zeus 2.0 kann Informationen aus verschiedenen Browsern einschließlich Firefox ausspähen und den Phishing-Schutz des IE ausschalten, außerdem ist er an neue Systeme, namentlich Windows 7, angepasst.
- Zeus 2.0 schützt sich mit neuen Verschlüsselungstechniken vor der Entdeckung durch Virenscanner.
- Die Binärdateien werden in Verzeichnissen und Programmen mit
zufälligen Namen unterhalb von
%APPDATA%
versteckt, Version 1.x nutzte feste Dateinamen und das Verzeichnis%WINDIR%\System32
. - Zeus 2.0 infiziert nur den lokalen Nutzer statt den gesamten Rechner. Auch das erschwert seine Entdeckung, dafür richtet er auf Rechnern mit mehreren Benutzern weniger Schaden an.
- Mehrere Versionen von Zeus 2.0 können parallel laufen, ein Rechner kann dadurch gleichzeitig in den Botnets verschiedener Cyberkrimineller hängen.
Auch ein USB-Kartenleser schützt beim Online-Banking nicht zwingend vor einem erfolgreichen Angriff: Zeus ist in der Lage, die Banken-Seite so zu manipulieren, dass das Opfer unbemerkt Geld auf ein Konto der Cyberkriminellen überweist.
Zeus besitzt übrigens auch einen Kopierschutz: Im März 2010 wurde berichtet, dass die aktuelle Version durch ein Hardware-basiertes Lizenzierungssystem geschützt ist. Beim ersten Start wird ein Fingerprint des speziellen Rechners erstellt, für den die Entwickler dann einen genau angepassten Schlüssel erstellen. Diese Kopierschutz erschwert auch die Analyse des Schädlings. Was nun der Hauptgrund für die neue Funktion ist, die Prüfung von Lizenzen oder die Abwehr von Analyseversuchen, ist natürlich nicht bekannt. Andere Versionen wehren Analyseversuche ebenfalls ab, nutzen aber andere Taktiken.
Und wenn die Cyberkriminellen von zu vielen für sie unwichtigen Informationen überrollt zu werden drohen, können Sie Zeus mit Hilfe der Konfigurationsoption "Enable No-Shit reports" anweisen, nur sehr spezifische Informationen und nur auf bestimmten Bank-Websites eingegebene Daten zu sammeln. Bei soviel Komfort ist es wohl nicht verwunderlich, das Zeus bei den Cyberkriminellen so beliebt ist.
"Bot vs. Bot"
Im Oktober 2009 bekam Zeus erstmals Ärger mit einem
KonkurrentenMitbewerber: Der Trojaner Bredo
deaktivierte
auf einem infizierten Rechner vorhandene Zeus-Schädlinge, indem er deren
Dateien verschob. Diese Aktion hatte keine besonders bemerkenswerten
Folgen, aber im Februar 2010 wurde es dann ernst im "Kampf der Botnets"
oder
Bot War:
Die Entwickler des Schädlingsbaukastens
SpyEye
erweiterten ihre Schädlinge um die
Funktion,
auf einem infizierten Rechner vorhandene Zeus-Schädlinge zu übernehmen
und/oder zu deinstallieren. Das
funktionierte
aber nur mit einem Teil der Zeus-Varianten. Wie ein erfolgreiches Löschen
abläuft, hat Symantec in einem
Video
gezeigt.
Brian Krebs beschrieb diese Rivalität ausführlich. Zumindest anfangs waren die "Übernahmeversuche" von SpyEye nicht besonders erfolgreich, die Rivalität endete aber damit, dass der Zeus-Code an den SpyEye-Entwickler übergeben wurde. Das Ergebnis soll wahrscheinlich ein neuer "Super-Trojaner" (oder eher Super-Schädlingsbaukasten oder Superschädlings-Baukasten) werden. Anfang Februar 2011 berichtete Brian Krebs dann, dass der Zeus-Quellcode zum Kauf angeboten wird. Was genau da hinter den Kulissen abläuft, weiss natürlich niemand, man kann nur spekulieren, wie es z.B. auch Francois Paget von McAfee im November 2010 getan hat. Fakt ist, dass Zeus, sowohl als Schädling als auch als Baukasten dafür sowie als Botnet daraus immer noch im Einsatz ist und auch neue Tricks lernt. Entweder, da entwickelt jemand das Toolkit weiter, oder einzelne Cyberkriminelle erweitern ihre eigene Version um für sie notwendige Funktionen.
Ausführlich untersuchter Schädling
Zeus ist ein sehr gut untersuchter Schädling. Ebensoviel Interesse wie Zeus bekam wohl nur Stuxnet. Die folgende Liste ist bei weitem nicht vollständig und stellt nur eine willkürliche Auswahl dar:
- Sourcefire: "VRT Labs - Zeus Trojan Analysis" (ohne Datum)
- Schweizerische Melde- und Analysestelle Informationssicherung (MELANI): "Halbjahresbericht 2008/1", Anhang 10.1: "Professionalisierung der Internetkriminalität am Beispiel ZeuS"
- ThreatExpert Blog: "Time to Revisit Zeus Almighty" (September 2009)
- Fortinet: "Zeus: God of DIY Botnets" (Oktober 2009)
- Symantec: "Zeus: King of the Bots" (November 2009) (PDF)
- Dell SecureWorks: "ZeuS Banking Trojan Report" (März 2010)
- Trend Micro: "ZeuS: A Persistent Criminal Enterprise" (März 2010) (PDF)
- Trend Micro: "File-Patching ZBOT Variants: ZeuS 2.0 Levels Up" (Oktober 2010) (PDF)
- Insbesondere über die finanziellen Auswirkungen der Angriffe berichtet Brian Krebs regelmäßig in seinem Blog Krebs on Security (Suche nach Zeus darin)
Update 12.5.2011:
Inzwischen ist der Zeus-Sourcecode im Internet aufgetaucht. Mehr darüber erfahren Sie in der
nächsten Folge!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus
-
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Zeus - Die Entwicklung eines Dauerbrenners
- Zeus-Sourcecode im Internet aufgetaucht
- Zeus wird mobil - jetzt auch auf Android
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zeus, Carberp und Khelios - Drei Schläge gegen Botnets
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr
Vorschau anzeigen