ゼウスの進化。 パートI

イントロ

Zeusボットは、おそらく悪意のあるソフトウェアの最も有名な代表の1つです。 Zeusの歴史は2007年（または2006年）からです。 多くの人が、ゼウスは単なるトロイの木馬であると誤解していますが、そうではありません。 実際、Zeusはいわゆるクライムウェアの例です。違法行為を行うように設計されたソフトウェアです。 この場合、クライムウェアZeusの主な目的は、金融取引の実行に使用される資格情報を盗むことです。 アナリストによると、彼は世界の銀行詐欺事件の90％を担当しています。



もう1つの誤解は、1つの巨大なZeusボットネットがあるという主張です。 実際、Zeusは非常に多数（おそらく数百）のさまざまなボットネットの基礎であり、それらはすべてサイバー犯罪者の異なるグループによって制御されています。 Zeusの作成者は、関心のある関係者にそれを販売するだけで、すでにそれを使用して独自のボットネットを作成しています。 したがって、Zeusボットネットではなく、Zeusで作成されたボットネットについて話すのは正しいことです。 2009年2月、スイスのコンピューターセキュリティスペシャリストであるRoman Hussyは、Zeusチームサーバーに関する情報を追跡するZeusTracker Webサイトを作成しました。

ゼウス、バージョン1

ZeuS開発者は、SlavikとMonstrというニックネームで知られています。2010年まで彼の製品を販売およびサポートしたのは彼でした。



構造的に、Zeusはいくつかの部分で構成されています-ボットの作成者と管理パネル。

メインのZeusボットモジュールおよびビルダーは、Visual StudioのCおよび部分的にC ++で記述されています。 Zeusボットの最終的な実行可能コードは、ビルダーによって作成され、メインモジュール自体と構成ファイルが含まれていました。 構成ファイルには、コントロールセンターのアドレス、スクリプトへのパス、および作業に必要なその他のデータが含まれています。 ビルダーには、購入者のコンピューターへのハードウェアバインドがあります。つまり、特定の構成がある場合にのみ起動できます。



研究者は、Zeusファミリーがルートキットやエクスプロイトテクニックを使用してシステム上の権限を強化することはないと指摘しています。 主な重点は、限られたユーザー権限で作業する場合を含め、操作の安定性に置かれました。

バージョン1.3.4.xの例に関する第1世代のZeusの機能、2010年3月（ ソース ）：

• ブラウザに入力された資格情報の盗難;
• Windows Protected Storageに保存されている個人情報の盗難。
• クライアント証明書X.509の盗難。
• FTPおよびPOP資格情報の盗難
• HTTPおよびFlash Cookieの盗難と削除。
• 後続の個人情報盗難（Webインジェクション）のために要求されたHTMLページの変更。
• ユーザーリクエストを他のサイトにリダイレクトします。
• スクリーンショットの作成。
• ファイルを検索してリモートサーバーにアップロードします。
• ホストファイルの変更。
• リモートサーバーからのファイルのダウンロードとその後の起動。
• オペレーティングシステムをロードできないための重要なレジストリブランチの削除。

バージョン1.4以降、FirefoxにWeb Injectsを実装する機能が登場しました。 Webインジェクト-実際のシステムをシミュレートするリモートバンキングシステムの資格情報の入力フォームの表示を提供するHTMLおよびJavaScriptコードのセット。 ブラウザを介してRBシステムのサイトにアクセスしようとすると、トロイの木馬はリクエストを傍受し、偽のフォームを表示します。 このようにして盗まれた資格情報は、攻撃者のコマンドセンターに送信されます。 ウイルス対策ソフトウェアの検出をより困難にするために、Zeusはポリモーフィック暗号化とファイルのサイズ変更メカニズムを使用し始めました。 同時に、感染した各システムのZeusファイルは新しいパラメーターで新たに暗号化されたため、異なるコンピューターでの同じビルドはまったく異なって見えました。



バージョンZeus 1.3.4.xのコンポーネントの価格：

• ビルダーと管理パネル-3000ドルから4000ドルまで。
• Back Connectモジュール（たとえば、どのポートでもRDP経由で接続できます）-1,500ドル。
• Firefox資格情報盗難モジュール（フォームグラバー）-2000ドル。
• Jabberを介した盗難情報の通知および送信用モジュール-500ドル。
• プライベート（カスタムメイド）VNC（リモートコントロール、RDPアナログ）モジュール-10,000ドル。
• Windows Vista / Sevenサポート-2000ドル。

Zeusボットはさまざまな方法で配布されました。 たとえば、2009年の秋には、米国の税務サービスに代わって送信されるスパムメッセージで配信されました。 別のケースでは、手紙は豚インフルエンザH1N1に対する普遍的なワクチン接種が行われたと述べました。 手紙のリンクは、サイバー犯罪者によって作成された偽のサイトにつながりました。 これらのサイトは、特定の指示を含むと思われるexe形式の実行可能ファイルをダウンロードして実行することを提案しました。 実際、ファイルはZeusボットでした。 スパマーは、Cutwailボットネット（PushdoおよびOficlaとも呼ばれる）の「パワー」を使用してスパムを送信しました。 その後、戦術が変更され、エクスプロイトパックにつながるiframeまたはjscriptを含むサイトへのリンクがレターで送信されるようになりました。 これにより、ユーザーの操作なしで感染することが可能になりました-もちろん、ブラウザが脆弱性にさらされた場合（適切なセキュリティアップデートがない場合）、リンクをたどるだけで、Zeusが自動的にインストールされました。 手紙を書く過程で、ソーシャルエンジニアリングの方法が広く使われました。



一部のZeus管理パネルには、FTPアカウントを「オンザフライ」でチェックする機能がありました。盗まれた資格情報の新しい部分が送信されるとすぐに、FTPアカウントの存在がチェックされ、そのようなアカウントがすぐにチェックされました。 チェックの結果、アクセスがあることが判明した場合、別のスクリプトが拡張子.htm、.htmlおよび.phpのファイルをリモートFTPサーバーで検索し（FTPサービスはサイトへのコンテンツのアップロードによく使用されるため）、iframeまたはjscriptがこれらのファイルに挿入されましたエクスプロイトパックにつながります。 したがって、サイトは自動的に感染しました。



2010年4月、Zeusはドロッパーを実行可能ファイル（ source ）に導入するための追加機能を受け取り、512バイトの埋め込みコードが次のアクションを実行しました。

• URLが内部で設定されたリモートファイルをダウンロードします。
• ダウンロードしたファイルを実行のために起動する。
• 感染したプログラムの元のコードを実行します。

この機能は、バイラル機能に似ています。 ただし、ウイルス対策が感染ファイルを駆除した場合、ウイルスは起動できなくなりました。 この場合、ウイルス対策ソフトウェアがメインのZeusモジュールを削除し、ドロッパーに触れない可能性がありました。これにより、おそらく新しいバージョンのZeusでコンピューターに再度感染することができます。

競合他社

2009年12月頃、ZeusのライバルSpyEyeが「ブラックマーケット」に登場しました。機能と構成（ビルダーおよび管理パネル）はZeusと非常に似ていましたが、価格は低く、基本モジュールの場合は約500ドルでした。 その後、競争は2010年2月のSpyEyeバージョン1.0.7に登場し、機能「Zeus Killer」はZeusを削除するように設計されました。 すべてのZeusコピーをシャットダウンするために、SpyEyeは名前付きパイプを介してコマンドを送信し、各Zeusコピーはそのニーズに合わせて開きます。 SpyEyeは、Zeusがコピーを検出して再起動を防ぐために使用した特定のミューテックス名でZeusを検出しました。 さらに、SpyEyeはZeusから送信されたレポートを傍受する可能性があるため、二重の作業を行いません。 もう1つの目新しさは、Zeusに対抗するために作成されたブラウザにマルウェアが侵入する可能性をブロックすることを目的としたTrusteerのRapportセキュリティシステムをバイパスするように設計されたモジュールです。 ZeusビルダーのようなSpyEyeビルダーには、特定のハードウェア構成へのバインドに基づくライセンスシステムが含まれていました。 VMProtectヒンジ保護を使用して実装されました。



フォーラムの情報によると、2010年10月にZeus Slavikの作成者は、ソースコードを競合他社である開発者SpyEyeに転送し、さらなる開発を停止しました。 コードは、Gribodemonとしても知られるHardermanというニックネームを持つ人に転送されました。 Hardermanによると、彼はソースコードを無料で受け取り、以前のSlavikのすべての顧客の世話をしました。後に、ZeusとSpyEyeのソースコードの何らかの種類の合併が想定されました。 実際、2011年1月以降、ウイルス対策企業の研究者はSpyEyeの新しいハイブリッドバージョンの検出を開始し、バージョン1.3から番号付けが開始されました。



SpyEyeバージョン1.3.45、2011年8月のコンポーネントの価格：

• ビルダーと管理パネル-2000ドル。
• Firefoxブラウザ用のWeb Injectsモジュール-2000ドル。
• Rapport保護バイパスモジュール-500ドル;
• Socks5プロキシモジュール-1000ドル。
• RDPプロトコルアクセスモジュール-3000ドル。
• FTP Back Connectモジュール-300ドル。
• Mozilla Firefoxブラウザー証明書盗難モジュール-300ドル。
• クレジットカードの資格情報の盗難モジュール-200ドル。
• Opera＆Chrome（フォームグラバー）クレデンシャル盗難モジュール-1000ドル。

このバージョンのユーザーガイドは、XyliBox個人ブログで入手できます 。

Zeus、バージョン2.1

同時に、RSAの研究者は、ビジネスをやめることについてのスラヴィックの言葉に疑問を投げかけるいくつかの事実を発見しました。 2010年8月、つまりZeusでの作業終了の「公式」発表の2か月前に、バージョン2.1.0.10のZeusボットを使用してボットネットが発見されました。 調査は、示されたバージョンのキットが「闇市場」で販売されなかったことを示しました。 このタイプのボットのその後の発見により、RSAの専門家はこの変更を1人（またはグループ）のみが所有していることを確認しました。 Zeusに基づき、独自の構成ファイルを使用しました）。



Zeus 2.1.0.10の主要な機能は、管理サーバーとの通信スキームの変更でした。 サーバーのアドレスは、構成ファイルにハードコーディングされていません。 アドレスリストは、DGA（ドメイン生成アルゴリズム）を使用して生成されました。 以前は、Bobax、Kraken、Sinowal（別名Torpig）、Srizbi、Confickerなどのマルウェアサンプルで同様の手法が繰り返し使用されていました。 Zeusは、生成されたアドレスでコマンドサーバーを探していました。 制御の傍受から保護するために、ダウンロード中のファイルのデジタル署名が更新中に検証されました（Windows Crypto APIも使用）。 これを行うために、Zeusコードには1024ビット長のRSA公開キーが含まれていました。



2011年にRSAの研究者は、Zeusサーバーバージョン2.1.0.10のいずれかにアクセスできました。 2010年8月から2011年8月の間に、210,000台を超えるコンピューターがこのサーバーに接続し、感染したコンピューターから約200ギガバイトのデータを受信したことがわかりました。 感染したコンピューターの約42％は米国にありました。 また、このコマンドサーバーへのアクセスを許可するためのログインの1つが「Slavik」であることがわかりました。 したがって、RSAの専門家は、Slavikが実際に独自のボットネット（おそらく1つではない）の作成に着手したことを示唆しています。



ここに続きます 。