A támadás háttere
ATSPY_ZBOT a Trend Micro által az iparág által “ZeuS botneteknek” nevezett kártevőkhöz kapcsolódó rosszindulatú programok észlelése. A ZeuS botnet tulajdonképpen egy rövidített kifejezés a fertőzött számítógépek hálózataira, amelyek a botnethez kapcsolódó műveletek során ZeuS/ZBOT trójaiakat használnak. A TSPY_ZBOT-változatok jellemzően legitim forrásból származónak tűnő levélszemétben érkeznek, és arra kérik a címzetteket, hogy kattintsanak egy linkre. Az említett link a TSPY_ZBOT letöltéséhez vezet, amely csendben ül a rendszerekben, és várja, hogy a felhasználók beírják a hitelesítő adataikat bizonyos webhelyekre.
A Trend Micro 2007 óta figyeli a ZBOT családot. A ZBOT-érzékelések száma az évek során jelentősen megnőtt, amint az a következő blogbejegyzésekből is kiderül:
- Keeping an EyeBOT and a Possible Bot War
- ZBOT Variant Spoofs the NIC to Spam Other Government Agencies
- New ZBOT/ZeuS Binary Comes with a Hidden Message
- Phishers Targeting AOL IM Users
- SASFIS a háttérben pezseg
- Phishing a biztonság fokozásának álcájában
- A ZBOT ismét a Facebookot veszi célba
- Újabb ZBOT-spamfutás
- Bogus “Balance Checker” eszköz rosszindulatú programot hordoz
- Az Önt (Facebook) Phished?
További ZBOT/ZeuS-hez kapcsolódó bejegyzések itt olvashatók.
A Trend Micro eddig több mint 2000 ZBOT-érzékelést észlelt, és a számuk folyamatosan emelkedik.
Mi a különbség a ZeuS, a ZBOT és a Kneber között?
Ezek a nevek mind a ZeuS botnetre vonatkoznak, amely egy bevett crimeware botnet, amely állítólag más ismert, vadon élő botnetekért felelős. A ZeuS trójai legkorábbi említésre méltó felhasználása a hírhedt Rock Phish Gang-en keresztül történt, amely a könnyen használható adathalász oldal készleteiről ismert. A “ZBOT” kifejezés a Trend Micro észlelési neve a hatalmas botnetben részt vevő összes rosszindulatú szoftverre. A Kneber botnet eközben egy nemrégiben kitalált kifejezés, amely egy konkrét ZBOT/ZeuS-kompromittálásra vonatkozik.
Hogyan jut be ez a fenyegetés a felhasználók rendszereibe?
A fenyegetés érkezhet spam-üzenet formájában, vagy tudtán kívül letöltődhet kompromittált webhelyekről. A ZBOT észlelések többsége bankokkal kapcsolatos weboldalakat célzott meg. A közelmúltbeli spamfutások azonban egyre változatosabb célpontokat mutatnak. A figyelemre méltó ZBOT-változatok listáján szerepel a TROJ_ZBOT.SVR, amelyet kormányzati szervek spamelésére használtak; a TSPY_ZBOT.JF, amely az AIM-felhasználókat célozta; és a TSPY_ZBOT.CCB, amely a Facebook közösségi oldalt vette célba.
Hogyan veszi rá a felhasználókat a linkekre való kattintásra?
A spamelt üzenetek általában azt állítják, hogy legitim vállalatoktól, újabban pedig kormányzati szervektől származnak. ZBOT-változatokat találtak olyan spam-futtatásban is, amely népszerű eseményekre, például Michael Jackson halálára támaszkodik.
Mi a ZeuS botnet elsődleges célja?
Első soron adatlopásra vagy különböző webhelyek, például online banki, közösségi és e-kereskedelmi webhelyek fiókinformációinak ellopására tervezték.
Hogyan szerez pénzt ez a fenyegetés az elkövetőinek?
Elkészít egy listát a bankokkal kapcsolatos webhelyekről vagy pénzügyi intézményekről, amelyekről megpróbál ellopni érzékeny online banki információkat, például felhasználóneveket és jelszavakat. Ezután figyeli a felhasználó webböngészési tevékenységét (mind HTTP, mind HTTPS), és a böngészőablakok címeit vagy a címsor URL-címeit használja támadásindítóként. Ez a rutin a felhasználó számlainformációinak felfedését kockáztatja, ami aztán az ellopott adatok jogosulatlan felhasználásához vezethet.
Kik vannak veszélyben?
A ZBOT-tal fertőzött rendszerrel rendelkező felhasználók, akik bejelentkeznek a célzott webhelyek bármelyikére, ki vannak téve annak a veszélynek, hogy személyes adataikat elvesztik a kiberbűnözők.
Mit csinál a kártevő az általa gyűjtött információkkal?
A gyűjtött információkat HTTP POST-on keresztül küldi el távoli URL-címekre. A kiberbűnözők ezt követően felhasználhatják ezeket az információkat rosszindulatú tevékenységeikhez. Eladhatják őket az illegális piacokon.
Mitől lesz ez a fenyegetés tartós?
A ZBOT a social engineering taktikáján és a folyamatosan fejlődő spammelési technikáin kívül rootkit képességei miatt is megnehezíti a felderítést. Miután telepíti magát az érintett rendszerre, a ZBOT létrehoz egy mappát System és Hidden attribútumokkal, hogy a felhasználók ne tudják felfedezni és eltávolítani az összetevőit. Továbbá a ZBOT képes letiltani a Windows tűzfalat és beilleszteni magát a folyamatokba, hogy memóriarezidenssé váljon. Megszünteti önmagát is, ha bizonyos ismert tűzfalfolyamatokat talál a rendszerben. A ZBOT-változatok más kártevőcsaládokat, például a WALEDAC-ot és a FAKEAV-ot is magában foglaló daisy-chain letöltésekben is szerepelnek.
Mit tehetek tehát, hogy megvédjem a számítógépemet a ZeuS botnet által jelentett fenyegetéstől?
A felhasználóknak óvatosnak kell lenniük az e-mail üzenetek megnyitásakor és az URL-címekre való kattintáskor. Mivel a ZBOT malware elkövetői folyamatosan új módszereket találnak a felhasználók megtámadására, a felhasználóknak ajánlott a biztonságos számítástechnikai gyakorlatok alkalmazása.
Vigyázzanak az adathalász oldalakkal, amelyek legitim webhelyeknek adják ki magukat, mivel ezek elsősorban arra szolgálnak, hogy a gyanútlan felhasználókat személyes adatok átadására csábítsák. Az ismeretlen feladótól érkező e-mailek linkjeire való kattintás az egyik legegyszerűbb módja annak, hogy a ZBOT-támadások áldozatává váljon.
A Trend Micro GeneriClean, a Trend Micro legtöbb termékében megtalálható funkció jelenleg támogatja a TSPY_ZBOT-változatokat. A felhasználóknak manuálisan kell átvizsgálniuk a rendszereiket ennek kiváltásához.
A Trend Micro™ Smart Protection Network™ által támogatott megoldások az e-mail hírnév szolgáltatáson keresztül blokkolják az e botnet által a felhasználók megfertőzésére használt spameket. A fájlhírnév szolgáltatáson keresztül felismeri és megakadályozza a rosszindulatú fájlok végrehajtását. A ZBOT-változatoktól is megvédi a felhasználókat azáltal, hogy a webes hírnévszolgáltatáson keresztül blokkolja a rosszindulatú webhelyekhez való hozzáférést, valamint a telefonos hazatérési kísérletektől, amelyek során a fertőzött számítógép megpróbál lopott adatokat feltölteni vagy további rosszindulatú programokat letölteni a command-and-control (C&C) szerverekről.
A nem Trend Micro termékek felhasználói a HouseCall ingyenes eszközzel is ellenőrizhetik rendszereiket, amely azonosítja és eltávolítja az érintett rendszerekről a vírusok, trójaiak, férgek, nem kívánt böngésző-bővítményeket és egyéb rosszindulatú programokat. Használhatják a Web Protection Add-On-t is, hogy proaktívan megvédjék számítógépüket a webes fenyegetésektől és a botokkal kapcsolatos tevékenységektől. A RUBotted segítségével megtudhatják, hogy gépeik egy bot-hálózat részei-e.
A fenyegetés heurisztikus észlelései közül néhány: MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 és MAL_ZBOT-7.
From the Field: Szakértői meglátások
“A közelmúltbeli Kneber botnet-támadás csak egy újabb példája annak, hogyan használják a ZeuS trójai (vagy ZBOT) fájlokat. A Trend Micro már 2007-ben is írt erről blogbejegyzéseket. Ami minket illet, nem is vagyunk meglepve.”
-Jamz Yaneza a közelmúltbeli Kneber-támadásról és az ügyet övező médiafelhajtásról
“Nehéz megelőzni vírusirtókon keresztül, mert a ZeuS (ZBOT) bináris fájlok folyamatosan, naponta néhányszor változnak, hogy elkerüljék a felismerést.”
-Paul Ferguson egy 2009. szeptemberi ZeuS-támadásról, amely az adóhivataltól (IRS) állítólagosan érkező spam-üzeneteket használt
.