image

Zeus-botnet stapt over op P2P-netwerk

maandag 10 oktober 2011, 14:18 door Redactie, 2 reacties

Er is een nieuwe variant van het beruchte Zeus Trojaanse paard ontdekt dat P2P-technieken gebruikt om besmette bots met elkaar te laten communiceren. De voornaamste functie van Zeus is het plunderen van online bankrekeningen. Deze aangepaste versie gebruikt geen domein generatie algoritme (DGA) om de geïnfecteerde computers de Command & Control (C&C) server te laten vinden en daar een configuratiebestand te laten downloaden. In plaats daarvan implementeert de nieuwste versie een Kademlia-achtig P2P-botnet.

Zeus gebruikt nu een IP-lijst met IP-adressen van andere besmette bots die onderdeel van het P2P-botnet uitmaken. Zodra de computer besmet raakt, verstuurt de malware UDP-pakketten op hoge poorten om een actieve node te vinden. Is dit het geval, dan stuurt de node als antwoord een lijst met IP-adressen van andere bots terug. Draait de node een nieuwere versie van Zeus, dan maakt de bot via TCP op een hoge poort verbinding om een update te downloaden.

Tracker
Het HTTP protocol dat Zeus voorheen gebruikte, wordt nu alleen gebruikt om gestolen informatie naar een 'dropzone' te sturen of om opdrachten van de botnetbeheerder te ontvangen. "Dit betekent dat er geen binaryURL of een ConfigURL is die Zeus Tracker kan volgen. Het maakt het ook lastig voor beveiligingsonderzoekers om de doelwitten van de malware te zien", zegt onderzoeker en beheerder van de Zeus Tracker Roman Huessy. In het geval de bot geen 'P2P drone' kan vinden en ook de C&C-server niet meer reageert, dan valt de malware op het DGA terug.

India
De nieuwe opzet heeft ook voordelen voor onderzoekers en beveiligers. Omdat er nu één Zeus C&C-server op hetzelfde moment actief is, moeten de botnetbeheerders elke keer dat een domeinnaam uit de lucht wordt gehaald, een nieuw configuratiebestand versturen. Huessy wist enkele van de nieuwe Zeus botnets te "sinkholen", waarbij de bots verbinding maken met een server van de onderzoeker.

Binnen 24 uur had Huessy al zo'n 100.000 unieke IP-adressen voorbij zien komen. De meeste infecties bevinden zich in India, dat laatst ook al tot grootste zombie-producent werd uitgeroepen.

Reacties (2)
10-10-2011, 20:22 door henkhooft
Ik snap niet waarom p2p al niet veel eerder werd gebruikt door zeus. Als alle nodes goed verdeeld zijn is het extreem moeilijk om het botnet onderuit te halen. Tenzij je de command auth key hebt natuurlijk.

Hier nog een interessant artikel over p2p botnets: http://www.usenix.org/event/hotbots07/tech/full_papers/wang/wang.pdf
10-10-2011, 22:40 door Anoniem
Door henkhooft: Ik snap niet waarom p2p al niet veel eerder werd gebruikt door zeus. Als alle nodes goed verdeeld zijn is het extreem moeilijk om het botnet onderuit te halen. Tenzij je de command auth key hebt natuurlijk.
[/url]

Het is enorm makkelijk om nu toegang te krijgen tot een groot deel van de IPs van het botnet door je te gedragen als 'client'. Dat is het grote nadeel van p2p. En aangezien het om bankfraude gaat zou het heel simpel zijn om alle accounts of transacties van die IPs automatisch in quarantaine te zetten. (alle mitsen en maren met dynamische IPs uiteraard)

Tot aan een jaar geleden gebruikte de standaard zeus ongeautenticeerde en symmetrisch versleutelde c&c protocollen. Als je p2p doet moet je wel heel goed weten wat je doet. Voor de genoemde DGA die ze een jaar geleden zijn gaan gebruiken was het al nodig om RSA signing te implementeren. Iemand anders kan ook zo'n domein registreren en updates uitrollen. Voor p2p is de beveiliging nog complexer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.