image

Kopieerbeveiliging beschermt Trojaans paard

zondag 14 maart 2010, 17:30 door Redactie, 12 reacties

De makers van de beruchte Zeus Trojan hebben hardwarematige kopieerbeveiliging aan hun creatie toegevoegd, om zo illegaal gebruik tegen te gaan. Zeus is één van de populairste programma's voor het plunderen van bankrekeningen en wordt voornamelijk tegen Britse en Amerikaanse bedrijven ingezet. Toch is de malware meer dan een eenvoudige bankovervaller. Zeus kan gegevens uit HTTPS formulieren, inloggegevens uit Windows Protected Storage, PKI certificaten, FTP en POP gegevens en Flash en HTTP cookies stelen, computers beschadigen, HTML pagina's aanpassen, screenshots maken, aanvullende malware downloaden en het lokale HOSTS bestand aanpassen.

De allernieuwste versie is 1.3.4.x, die alleen privé wordt verkocht. Oudere versies zijn vaak gratis via ondergrondse websites te downloaden. Om de nieuwste versie tegen een zelfde lot te beschermen, heeft de ontwikkelaar een hardwarematig licentiesysteem aan de Zeus-toolkit toegevoegd. Zodoende is de toolkit, waarmee cybercriminelen via een paar muisklikken een eigen Zeus-bot kunnen bouwen, alleen vanaf één computer te gebruiken. Wordt de software voor de eerste keer gebruikt, dan genereert die een specifieke code. De maker geeft de gebruiker vervolgens een sleutel voor alleen die computer. "Dit is de eerste keer dat we dit controleniveau voor malware zien", zegt Don Jackson, beveiligingsonderzoeker bij SecureWorks.

Modules
Het beveiligingsbedrijf onderzocht de laatste versies, over welke features ze beschikken en wat ze kosten. De laatste publieke versie is 1.2.7.19, waarin een Firefox form grabber actief is. Daarmee kan het Trojaanse paard ook in Firefox ingevulde inloggegevens en andere vertrouwelijke data stelen. Het injecteren van aanvullende velden, bijvoorbeeld voor het stelen van inloggegevens voor internetbankieren, werkt alleen in Internet Explorer.

De nieuwste versie kost tussen de 2.200 en 2.900 euro en is uit te breiden met een Backconnect module van 1.000 euro. Via deze module kan de gebruiker via de besmette computer banktransacties uitvoeren. Als de bank wil uitzoeken waar de transactie vandaan komt, komt die altijd uit bij de computer van de rekeninghouder. De eerder besproken Firefox form grabber module kost 1.450 euro, terwijl de 'Jabber IM chat notifier' zo'n 350 euro kost. Met deze module ontvangt de cybercrimineel in realtime de gestolen gegevens. Hiermee is het mogelijk om toch toegang te krijgen tot bankrekeningen die met een token beschermd zijn.

Firefox en Windows 7
De duurste module is VNC module, waar de ontwikkelaar 7.200 euro voor vraagt. Aanvallers krijgen hiermee een virtuele verbinding met de computer van het slachtoffer, zonder dat die dit doorheeft. De functionaliteit laat de aanvaller verschillende hardwarematige authenticatiesystemen omzeilen, aangezien hij meteen meelift met het slachtoffer en volledige controle over diens computer heeft. De module geeft aanvallers zelfs toegang tot de smartcard die voor grote transacties vereist is.

Standaard werkt Zeus alleen op Windows XP, maar voor 1.450 euro is het ook mogelijk om Windows 7 en Vista systemen te infecteren. Inmiddels is ook versie 1.4 in ontwikkeling, die Zeus van polymorfische encryptie voorziet en de mogelijkheid geeft om aanvullende velden in Firefox te injecteren.

Internetbankieren
SecureWorks adviseert bedrijven en thuisgebruikers dat ze via een geïsoleerd werkstation internetbankieren, dat niet wordt gebruikt voor e-mail en websurfen. Dit zou het risico op infectie moeten verminderen. Ook het gebruik van een alternatief besturingssysteem wordt geopperd, naast het patchen van systemen en het niet openen van verdachte links en e-mailbijlagen. Verder staan in deze analyse verschillende tips waaraan een met Zeus geïnfecteerd systeem is te herkennen.

Reacties (12)
14-03-2010, 17:44 door Anoniem
Met andere woorden: WGA voor boeven.
http://nl.wikipedia.org/wiki/Windows_Genuine_Advantage
14-03-2010, 18:12 door Anoniem
Alleen een geïsoleerd werkstation?!? En wat te denken van een Linux, FreeBSD of OS/X station!

Stap eens wat vaker van Windows af en u zult zien dat de (Internet) wereld veiliger wordt.
14-03-2010, 19:43 door leenvr
En binnenkort een veilige :) Gratiz Zeus OS en Browser van deze heren!
Lijkt me wel wat.
14-03-2010, 20:30 door quikfit
Een aparte PC voor Reizen boeken en internet bankieren??
14-03-2010, 21:14 door Anoniem
Waarom niet uitzoeken waar die software maker zich ergens schuil houd en dan een Tomahawk er op af sturen?
14-03-2010, 21:15 door rob
Da's nog eens wat anders dan Netbus of Back orifice 1.6 ;)
15-03-2010, 02:27 door Anoniem
FireFox wordt ook binnenkort dus massaal aangevallen. Niet alleen Windows.

Setji.ams.osd/Crew
Chung hu
15-03-2010, 08:28 door Anoniem
Toch tijd voor een OS dat van CD/DVD boot en alleen het intern geheugen gebruikt. Probleem is dan alleen: wat als de bank op het idee komt om software te laten installeren?
15-03-2010, 08:28 door spatieman
goh, die jongens van zeus beginnen op MS te lijken..
15-03-2010, 10:07 door Anoniem
We lijken nu op een kritiek punt aanbeland waar menig doemdenker, zo eind 20e eeuw, voor waarschuwde: het huidige systeem wat wij internet noemen + de HTML, JavaScript en DOM modellen én de OS-en, zijn inherent onveilig en derhalve *niet* geschikt voor secure transacaties. Check bijvoorbeeld de volgende presentatie: http://fronteers.nl/congres/2009/sessions/a-web-of-confusion
Probleem is nu echter dat de banken niet meer terug kunnen zonder gigantische verliezen te incasseren (en daar hebben ze sowieso al geen hulp bij nodig). Hoe kunnen we het web én veilig maken, maar zonder de privacy te schenden? Ik denk dat het model zoals aangedragen in de presentatie nog wel het meest geschikt is.
15-03-2010, 16:00 door Anoniem
Dat filmpje even aangezet..

Maar die kerel, praat mij teveel in conclusies.

Het securitymodel van Silverlight zou erger zijn dan dat van de Browsers..

Ja dan haak ik al af, als hij het niet gaat onderbouwen..

Volgens mij is het niet zo'n gast die zich niet gaat vermoeien met diepere technische achtergronden,
zich liever beperkt tot het maatschappelijke probleem.
15-03-2010, 17:00 door Anoniem
Maar hij heeft wel een punt wanneer hij aanhaalt dat een website van elk willekeurig domein Javascript kan includen, dat Javascript veel met globale variabelen werkt... Oftewel dat de gebruiker vrijwel geen macht kan uitoefenen (of controle) over wat er in zijn eigen browser afspeelt, en zijn gegevens kunnen overal heen worden gestuurd (datgene waar stats counters nu masaal misbruik van maken). Dat OO model (ala Java) waarbij objecten alleen via interfaces tegen mekaar mogen praten, dat zou al heel veel schelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.