トロイの木馬プログラムのDGAアルゴリズムによって生成される管理サーバーとの通信用ドメインは、それが新しいバージョンであることを確認します。 先に、Zus Gameoverボットネットを無効にする操作について書きました。これは、セキュリティ会社と協力してFBIとEuropolによって実行されました。 その運用の一環として、intelligence報機関もZeusが使用するドメインの制御を奪い、それらの所有権を取得し、ボットが攻撃者から新しい指示を受け取ることを不可能にしました。
新しいバージョンの特徴は、以前に使用されたP2Pの代わりに、コマンドサーバーで作業するための高速フラックスアルゴリズムの使用です。 P2Pスキームでは、1つのサーバーからコマンドを受信する集中化はありません。代わりに、ボットネットに実行のために命令を送信できるいわゆるピア(他の感染したコンピューター)が多数あります。 高速フラックスは、異なる作業スキームを提供します。 その中で、C&Cと通信するためのドメインは、コンピューターIPアドレス(IPとのドメイン関連付け)の形でその目的を絶えず変更できますが、攻撃者が制御するコンピューターIPアドレスは、DNSレコードを登録するためのシステムとして使用できます。 通常、これは侵入者がIPアドレスを使用して必要なC&Cドメインをすばやく再割り当てするコンピューターのセットです。 ボットは、更新されたDGAアルゴリズムを介してこのようなC&Cドメインのリストを受け取ります。
ゼウスとの物語はかなり前から続いています。 ボットの最初のバージョンは、2007年またはそれ以前に誕生しました。 Zeusを他のマルウェアと区別したのは、さまざまな銀行からオンラインバンキングデータを盗み、この情報を攻撃者のサーバーに転送する最初のクライムウェアツールキットまたはフル機能のツールになったことです。 このような操作を実行するために、構成ファイルが含まれていたため、攻撃者はそれを必要な目標(銀行サイト)にすばやくリダイレクトできました。 それ以来、Zeusの複数の世代またはバージョンが登場し、合計の金銭的損害は5億ドル以上と推定されています。 このマルウェアとそれに基づくボットネットのさまざまなファミリまたは変更の数は、すでに数十個です。
図 銀行口座から資金を盗むためにクライムウェアツールキットを使用するサイバー犯罪者の作業スキーム。
- トロイの木馬の作成者は、ボットの必要な機能を開発しています。
- オペレーター(ハッカー)は、トロイの木馬のコンパイル済み実行可能ファイルを配布する責任があります。 彼はスパマーのサービスを使用してスパムメールを整理し、「ifremers」にハッキングされたサイトの正当なユーザーをトロイの木馬またはサイバー犯罪の世界で知られている他の方法にリダイレクトします。
- ユーザーは銀行のトロイの木馬に感染した後、ブラウザを使用して(悪意のあるコードが存在するプロセスで)オンラインバンキングを操作します。 オンラインバンキングシステムの操作時に指定された機密データは、攻撃者のサーバーに送信されます。
- オペレーター(ハッカー)は、前のステップでボットから送信されたデータを受信します。
- オペレーターは、被害を受けた別のコンピューター(プロキシ)を使用して被害者のアカウントで不正な操作を実行し、攻撃のソースを隠すことができます。
- 前の段落で指定されたプロキシを使用して、オペレーターはステップ4で盗まれたログイン/パスワードのペアを使用してユーザーのオンラインバンキングアカウントにログインします。
- 被害者の口座からの資金は、いくつかの不正な銀行口座に少しずつ振り込まれ、その後、犯罪制度に参加しているさまざまな人(ラバ)によってATMで現金化されます。
- 犯罪スキーム全体のオーガナイザー(コーディネーター)は、「ミュール」から資金を受け取り、それぞれの「ミュール」はそのシェアを獲得します。
図 「マネーラバ」の逮捕事件の一部として発行されたFBIプレスリリース、いわゆる 米国v。 2010年の「ゼウスマネーラバ」は、旧ソ連の20人以上の学生が逮捕され、その多くは偽造文書を使用して米国に来て、ゼウスを使用して銀行の顧客から盗まれた「汚いお金」の現金化を実行しました。 調査によると、このケースの枠組みでは、7000万ドル以上が盗まれました。