image

Hacker vindt achilleshiel van Zeus botnet

dinsdag 28 september 2010, 16:37 door Redactie, 18 reacties

Beveiligingsonderzoeker Billy Rios heeft een ernstig beveiligingslek in de software van de Zeus bot ontdekt, waarmee hij Zeus botnets binnen seconden kan overnemen. Rios ontdekte een toolkit voor het maken van een eigen Zeus botnet, inclusief handleiding. "Je moet de trucs die de bot gebruikt bewonderen, deze gasten zijn slim." Hij maakte een eigen mini-bot op een testnetwerk, analyseerde de werking en ontdekte verschillende bugs. "Het is fascinerend als je lekken vindt in software die voornamelijk criminelen gebruiken."

Als beveiligingsonderzoeker informeerde hij eerst de makers van de software, maar die lieten weten dat ze een 'cloud service provider' waren en niet over C&C software beschikten. Vervolgens ontving hij allerlei spam. Ook een e-mail naar security@botnets-r-us.ru leverde een flinke inbox vol Viagra spam op. "Zonder een alternatief en een inbox vol spam, had ik geen keuze dan op full disclosure over te gaan."

Exploit
De exploit van Rios is niet op de nieuwste versie van de bot-software getest. "Maar deze posting bevat alles zodat je het zelf kunt controleren." Zeus biedt botnetbeheerders een webpagina om het botnet te besturen en informatie te verzamelen. Rios ontdekte een manier om een "nep-bot" te maken die met de C&C-server kan communiceren. Door zich voor te doen als een bot die een 'botlog' moet uploaden, lukt het de onderzoeker om zijn eigen PHP-bestand op de server te plaatsen en zo willekeurige code uit te voeren.

"Zodra we onze eigen PHP code op de C&C hebben draaien, kunnen we het /system/config.php bestand includen. Config.php bevat de locatie van de MySQL database, alsmede de DB gebruikersnaam en wachtwoord., waarmee we volledige controle over de management console en alle bots van deze C&C hebben." Rios zal binnenkort meer informatie over de beveiligingslekken in het C&C-botnet bekendmaken.

Reacties (18)
28-09-2010, 16:51 door Anoniem
"Als beveiligingsonderzoeker informeerde hij eerst de makers van de software"

Sorry voor de negatieve kwalificaite, maar wat een idioot is deze onderzoeker.
28-09-2010, 16:59 door Anoniem
Eerst contact geprobeerd op te nemen met de makers, iets te principieel lijkt mij in dit geval.
28-09-2010, 17:55 door Anoniem
Ik las even:

Rios zal binnenkort meer informatie via de beveiligingslekken in het C&C-botnet bekendmaken.

Ook leuk :)
28-09-2010, 18:06 door Anoniem
Haha, dat is wel echt TE easy!!
28-09-2010, 18:28 door Preddie
Leuk om te zien dat je eigen voorspellingen uit komen :P
28-09-2010, 19:51 door spatieman
"Het is fascinerend als je lekken vindt in software die voornamelijk criminelen gebruiken."

overheid instanties niet dus xD
29-09-2010, 00:06 door lythus
Het is niet alsof de antivirus bedrijven of overheidsinstanties er veel tegen kunnen doen. Eén keer raden wie de wereld weer mag redden? Een white hat botnet misschien?

Problem: Too many botnets around.
Reaction: Create a botnet to remove all other botnets from a zombie computer. After that let the software that has compromised the zombie computer self destruct.
Solution: Less botnets, the world is a safer place.

2nd problem: Iron law of oligarchy
Reaction: (after some inevitable while) "Oh my. It's turning sort of blackish." (think Google)
Solution: Change human behavioral problems or make it lose a single player game of tic-tac-toe, you know.
29-09-2010, 00:34 door Anoniem
heerlijk
29-09-2010, 09:32 door Anoniem
"een inbox vol spam"...
zet dan je spam filter aan, wiseguy
29-09-2010, 09:36 door JF Bethlehem
Erg handig, een kwetsbaarheid in een botnet had gebruikt kunnen worden door de overheden om de C&C's aan te pakken. Nu is die kwetsbaarheid gedicht en is weer een manier om botnets te vinden en op te doeken verknald. Fijn voor die mensen die al jaren bezig zijn om botnets te vinden, analyseren en opdoeken.
29-09-2010, 10:08 door cjkos
Deze beveiligingsonderzoek is nu dus medeplichtig aan de gevolgen van dit botnet, of zie ik het verkeerd?
29-09-2010, 14:58 door Anoniem
Bots blijven toch in de omloop, dit zorgt ervoor dat newbie botnet herders "beroofd" worden van hun bots waardoor een "advanced" botnet beheerder met een "betere" en gevaarlijkere/nieuwere bot versie de hele botnet gaat updaten.
29-09-2010, 15:00 door Anoniem
Door cjkos: Deze beveiligingsonderzoek is nu dus medeplichtig aan de gevolgen van dit botnet, of zie ik het verkeerd?

nee dat niet

Dus een supermarkt is medeplichtig aan de "dodelijke" chemicalien dat ze verkopen waar je bommen mee kunt maken en mensen kunt vergiftigen?
29-09-2010, 18:40 door [Account Verwijderd]
[Verwijderd]
29-09-2010, 21:37 door Anoniem
Volgens mij mag de overheid niet eens een c&c server hacken want hacken mag niet
01-10-2010, 09:00 door Anoniem
Door Anoniem: Volgens mij mag de overheid niet eens een c&c server hacken want hacken mag niet

Computervredebreuk is inderdaad strafbaar, behalve met een rechterlijk bevel. :)
01-10-2010, 09:05 door Anoniem
Ik vraag me écht af hoe de Ethiek hierin zit.
Persoonlijk zou ik deze meding bij de politie doen, en niet bij de makers van de software.
01-10-2010, 09:12 door Anoniem
Hij schrijft op zijn blog:
"In the spirit of responsible disclosure I contacted security@zeus.com and informed them that I may have discovered a security issue with their C&C server software."

Kom op, elke idioot kan zich bedenken dat de mensen van zeus.com niet de makers van ZBot zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.