Hyökkäyksen tausta
TSPY_ZBOT on Trend Micron havainto haittaohjelmille, jotka liittyvät toimialan ”ZeuS- bottiverkkoihin”. ZeuS-bottiverkko on itse asiassa lyhennetty termi vaarantuneiden tietokoneiden verkoille, jotka käyttävät ZeuS/ZBOT-troijalaisia bottiverkkoihin liittyvässä toiminnassaan. TSPY_ZBOT-muunnokset saapuvat tyypillisesti roskapostin kautta, joka näyttää tulevan laillisista lähteistä ja pyytää vastaanottajia napsauttamaan linkkiä. Mainittu linkki johtaa TSPY_ZBOTin lataamiseen, joka istuu äänettömästi järjestelmissä odottamassa, että käyttäjät näppäilevät tunnuksensa tietyille sivustoille.
Trend Micro on seurannut ZBOT-perhettä vuodesta 2007 lähtien. ZBOT-havaintojen määrä on kasvanut huomattavasti vuosien varrella, kuten seuraavista blogikirjoituksista käy ilmi:
- Keeping an eye on the EYEBOT and a possible Bot war
- ZBOT Variant Spoofs the NIC to Spam Other Government Agencies
- New ZBOT/ZeuS Binary Comes with a Hidden Message
- Phishers Target AOL IM Users
- SASFIS pimenee taustalla
- Phishing turvallisuuden parantamisen varjolla
- ZBOT kohdistuu jälleen Facebookiin
- Jälleen yksi ZBOT-haittaohjelma
- Bogus ”Balance Checker” -työkalu sisältää haittaohjelmia
- Oletko sinä (Facebook-)Phishing?
Lue lisää ZBOT/ZeuS-aiheisia merkintöjä täältä.
Tänään Trend Micro on nähnyt yli 2000 ZBOT-havaintoa, ja luvut kasvavat edelleen.
Mitä eroa on ZeuS:llä, ZBOT:lla ja Kneberillä?
Nämä kaikki nimet liittyvät ZeuS-bottiverkkoon, joka on vakiintunut rikollisohjelmistobottiverkko, jonka sanotaan olevan vastuussa muista luonnossa tunnetuista bottiverkoista. ZeuS-troijalaisen varhaisin huomattava käyttö tapahtui pahamaineisen Rock Phish Gangin kautta, joka on tunnettu helppokäyttöisistä phishing-sivupaketeistaan. Termi ”ZBOT” on Trend Micron havaintonimi kaikille massiiviseen bottiverkkoon osallistuville haittaohjelmille. Kneber-bottiverkko puolestaan on hiljattain keksitty termi, joka liittyy tiettyyn ZBOT/ZeuS-kompromissiin.
Miten tämä uhka pääsee käyttäjien järjestelmiin?
Uhka voi saapua roskapostiviestinä tai se voidaan ladata tietämättään vaarantuneilta verkkosivustoilta. Useimpien ZBOT-havaintojen on havaittu kohdistuvan pankkeihin liittyviin verkkosivustoihin. Viimeaikaiset roskapostit ovat kuitenkin osoittaneet, että kohteet ovat yhä moninaisempia. Huomionarvoisia ZBOT-muunnoksia ovat muun muassa TROJ_ZBOT.SVR, jota käytettiin valtion virastojen roskapostitukseen, TSPY_ZBOT.JF, joka kohdistui AIM-käyttäjiin, ja TSPY_ZBOT.CCB, joka kohdistui sosiaalisen verkostoitumisen sivustoon Facebookiin.
Miten se huijaa käyttäjiä klikkaamaan linkkejä?
Spämmättyjen viestien väitetään yleensä olevan laillisilta yrityksiltä ja viime aikoina myös valtion virastoilta. ZBOT-variantteja on niin ikään löydetty roskapostiviesteistä, jotka ratsastavat suosituilla tapahtumilla, kuten Michael Jacksonin kuolemalla.
Mikä on ZeuS-bottiverkon ensisijainen tarkoitus?
Se on ensisijaisesti suunniteltu tietovarkauksiin tai varastamaan tilitietoja erilaisilta sivustoilta, kuten verkkopankki-, sosiaalisten verkostojen ja sähköisen kaupankäynnin sivustoilta.
Miten tämä uhka tekee rahaa tekijöilleen?
Se luo luettelon pankkeihin liittyvistä verkkosivustoista tai rahoituslaitoksista, joilta se yrittää varastaa arkaluonteisia verkkopankkitietoja, kuten käyttäjänimiä ja salasanoja. Sitten se tarkkailee käyttäjän verkkoselailutoimintoja (sekä HTTP- että HTTPS-verkkosivuja) käyttäen selainikkunan otsikoita tai osoitepalkin URL-osoitteita hyökkäyksensä laukaisijoina. Tämä rutiini saattaa paljastaa käyttäjän tilitiedot, mikä voi sitten johtaa varastettujen tietojen luvattomaan käyttöön.
Kuka on vaarassa?
Käyttäjät, joilla on ZBOTin saastuttamat järjestelmät ja jotka kirjautuvat mille tahansa kohteena olevalle sivustolle, ovat vaarassa menettää henkilökohtaisia tietoja verkkorikollisille.
Mitä haittaohjelma tekee keräämillään tiedoilla?
Se lähettää kerätyt tiedot HTTP POST -lähetyksenä etäkäytettäviin URL-osoitteisiin. Verkkorikolliset voivat sitten käyttää näitä tietoja haitalliseen toimintaansa. Niitä voidaan myydä laittomilla markkinoilla.
Mikä tekee tästä uhasta sitkeän?
Sosiaalisen insinöörityön taktiikoiden ja jatkuvasti kehittyvien roskapostitustekniikoiden lisäksi ZBOT vaikeuttaa havaitsemista rootkit-ominaisuuksiensa vuoksi. Asennettuaan itsensä saastuneeseen järjestelmään ZBOT luo kansion, jonka attribuuteiksi on asetettu System ja Hidden, jotta käyttäjät eivät pystyisi havaitsemaan ja poistamaan sen komponentteja. Lisäksi ZBOT kykenee poistamaan Windowsin palomuurin käytöstä ja liittämään itsensä prosesseihin ja siirtymään muistiin. Se myös lopettaa itsensä, jos järjestelmässä havaitaan tiettyjä tunnettuja palomuuriprosesseja. ZBOT-muunnokset esiintyvät myös ketjulatauksissa, joissa on mukana muita haittaohjelmaperheitä, kuten WALEDAC ja FAKEAV.
Mitä voin siis tehdä suojellakseni tietokonettani ZeuS-bottiverkon aiheuttamalta uhalta?
Käyttäjien on tärkeää noudattaa varovaisuutta avatessaan sähköpostiviestejä ja napsauttaessaan URL-osoitteita. Koska ZBOT-haittaohjelman tekijät keksivät jatkuvasti uusia tapoja hyökätä käyttäjien kimppuun, käyttäjiä kehotetaan käyttämään turvallisia tietokonekäytäntöjä.
Ole varovainen phishing-sivujen suhteen, jotka väittävät olevansa laillisia verkkosivuja, sillä niiden tarkoituksena on ensisijaisesti huijata tietämättömiä käyttäjiä luovuttamaan henkilökohtaisia tietoja. Tuntemattomilta lähettäjiltä tulevien sähköpostiviestien linkkien napsauttaminen on yksi helpoimmista tavoista joutua ZBOT-hyökkäysten uhriksi.
TSPY_ZBOT-muunnoksia tukee tällä hetkellä Trend Micro GeneriClean, joka on useimmissa Trend Micron tuotteissa oleva ominaisuus. Käyttäjien on skannattava järjestelmänsä manuaalisesti käynnistääkseen tämän.
Trend Micro™ Smart Protection Network™:n tukemat ratkaisut estävät roskapostin, jota tämä bottiverkko käyttää tartuttaakseen käyttäjiä sähköpostin mainepalvelun kautta. Se voi havaita ja estää haitallisten tiedostojen suorittamisen tiedostojen mainepalvelun kautta. Se suojaa käyttäjiä myös ZBOT-muunnoksilta estämällä pääsyn haitallisille sivustoille Web-mainepalvelun kautta sekä phone-home-yrityksiltä, joissa tartunnan saanut tietokone yrittää ladata varastettuja tietoja tai ladata lisää haittaohjelmia komento- ja hallintapalvelimilta (C&C).
Muut kuin Trend Micro -tuotteiden käyttäjät voivat myös tarkastaa järjestelmänsä HouseCall-työkalun avulla, joka on maksuton työkalu, joka tunnistaa ja poistaa kaikenlaiset virukset, troijalaiset ohjelmat, madot, selaimen ei-toivotut liitännäistiedostot ja muut haittaohjelmat tartunnan saaneista järjestelmistä. He voivat myös käyttää Web Protection Add-On -lisäosaa suojatakseen tietokoneensa ennakoivasti verkkouhilta ja botteihin liittyviltä toiminnoilta. RUBottedin avulla he voivat selvittää, ovatko heidän koneensa osa bottiverkostoa.
Tämän uhan heuristisia havaintoja ovat MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 ja MAL_ZBOT-7.
Kentältä: Asiantuntijan näkemyksiä
”Äskettäinen Kneber-bottiverkkohyökkäys on vain yksi esimerkki siitä, miten ZeuS-troijalaisia (tai ZBOT-tiedostoja) käytetään. Trend Micro on julkaissut siitä blogikirjoituksia jo vuonna 2007. Mitä meihin tulee, emme ole edes yllättyneitä.”
-Jamz Yaneza tuoreesta Kneber-hyökkäyksestä ja asian ympärillä vallitsevasta mediakohusta
”Virustentorjuntaohjelmilla on vaikea pysyä kärryillä, koska ZeuS- eli ZBOT-binääritiedostot muuttuvat jatkuvasti muutama kerta päivässä havaitsemisen välttämiseksi.”
-Paul Ferguson viime syyskuussa 2009 tehdystä ZeuS-hyökkäyksestä, jossa käytettiin roskapostiviestejä, joiden väitettiin tulevan verovirastolta (IRS)
”.