Zeus-botnet stapt over op P2P-netwerk
Er is een nieuwe variant van het beruchte Zeus Trojaanse paard ontdekt dat P2P-technieken gebruikt om besmette bots met elkaar te laten communiceren. De voornaamste functie van Zeus is het plunderen van online bankrekeningen. Deze aangepaste versie gebruikt geen domein generatie algoritme (DGA) om de geïnfecteerde computers de Command & Control (C&C) server te laten vinden en daar een configuratiebestand te laten downloaden. In plaats daarvan implementeert de nieuwste versie een Kademlia-achtig P2P-botnet.
Zeus gebruikt nu een IP-lijst met IP-adressen van andere besmette bots die onderdeel van het P2P-botnet uitmaken. Zodra de computer besmet raakt, verstuurt de malware UDP-pakketten op hoge poorten om een actieve node te vinden. Is dit het geval, dan stuurt de node als antwoord een lijst met IP-adressen van andere bots terug. Draait de node een nieuwere versie van Zeus, dan maakt de bot via TCP op een hoge poort verbinding om een update te downloaden.
Tracker
Het HTTP protocol dat Zeus voorheen gebruikte, wordt nu alleen gebruikt om gestolen informatie naar een 'dropzone' te sturen of om opdrachten van de botnetbeheerder te ontvangen. "Dit betekent dat er geen binaryURL of een ConfigURL is die Zeus Tracker kan volgen. Het maakt het ook lastig voor beveiligingsonderzoekers om de doelwitten van de malware te zien", zegt onderzoeker en beheerder van de Zeus Tracker Roman Huessy. In het geval de bot geen 'P2P drone' kan vinden en ook de C&C-server niet meer reageert, dan valt de malware op het DGA terug.
India
De nieuwe opzet heeft ook voordelen voor onderzoekers en beveiligers. Omdat er nu één Zeus C&C-server op hetzelfde moment actief is, moeten de botnetbeheerders elke keer dat een domeinnaam uit de lucht wordt gehaald, een nieuw configuratiebestand versturen. Huessy wist enkele van de nieuwe Zeus botnets te "sinkholen", waarbij de bots verbinding maken met een server van de onderzoeker.
Binnen 24 uur had Huessy al zo'n 100.000 unieke IP-adressen voorbij zien komen. De meeste infecties bevinden zich in India, dat laatst ook al tot grootste zombie-producent werd uitgeroepen.
Hier nog een interessant artikel over p2p botnets: http://www.usenix.org/event/hotbots07/tech/full_papers/wang/wang.pdf
[/url]
Het is enorm makkelijk om nu toegang te krijgen tot een groot deel van de IPs van het botnet door je te gedragen als 'client'. Dat is het grote nadeel van p2p. En aangezien het om bankfraude gaat zou het heel simpel zijn om alle accounts of transacties van die IPs automatisch in quarantaine te zetten. (alle mitsen en maren met dynamische IPs uiteraard)
Tot aan een jaar geleden gebruikte de standaard zeus ongeautenticeerde en symmetrisch versleutelde c&c protocollen. Als je p2p doet moet je wel heel goed weten wat je doet. Voor de genoemde DGA die ze een jaar geleden zijn gaan gebruiken was het al nodig om RSA signing te implementeren. Iemand anders kan ook zo'n domein registreren en updates uitrollen. Voor p2p is de beveiliging nog complexer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
