Symantec: Neue ZeuS-Botnet benötigt mehr zentralen Kommando-Server

2013-12-28  |  Comebuy News

Cyberkriminelle verwenden eine modifizierte Version des Computers ZeuS Trojaner, der nicht mehr abhängig von Befehl und Kontrolle (C & C) Server für den Empfang von Anweisungen, laut Sicherheitsexperten von Symantec.

Comebuy Verwandte Artikel: Instant messaging beschleunigt Daten Diebstahl DangerMalware Kriege, wie die Trojaner Zeus übernimmt BotnetPeer-to-Peer Update auf Zeus Trojaner Widerstand zu nehmen-DownsResearcher Spuren, die verleiht 'Gameover' Malware zum Hersteller ZeusZeus Trojaner trotz UK & US Verhaftungen gedeiht

ZeuS ist sehr beliebt in der Welt sein, weil es eine Vielzahl von Informationen, Dokumenten und Anmeldeinformationen von infizierten Systemen zu stehlen kann. Seit vielen Jahren war es die Waffe der Wahl für die meisten Betrüger auf online-Banking-Systeme abzielen.

Der Trojaner Quellcode erschien ebnet den Weg für viele Drittanbieter-Änderungen und Verbesserungen am unterirdischen Internetforen im vergangenen Jahr.

Im November 2011 identifiziert die Sicherheitsexperten eine stark modifizierte ZeuS-Variante Weiterleitung Angreifer Befehle von einem kompromittierten Host zu einem anderen, in einem Peer-zu-Peer-Like (P2P)-Mode fähig.

Diese Version des Trojaners verbunden noch ein C & C Server for dropping gestohlene Daten und Empfang von Befehlen, sondern verwendet das P2P-System als ein Sicherungsmechanismus, für den Fall, dass der Server ging.

Jedoch eine neue Variante vor kurzem erkannt von Antivirensoftware Symantec wurde vollständig entfernt, die Notwendigkeit für C & C Server. "Jeder Peer in das Botnet kann fungieren als C & C Server, während keiner von ihnen wirklich ein, sind" Symantec Forscher Andrea Lelli in einem Blog-Post Mittwoch sagte.

"Bots sind jetzt in der Lage, Befehle, Konfigurations-Dateien und ausführbare Dateien von anderen Bots herunterzuladen--alle gefährdeten Computer ist in der Lage, der Bereitstellung von Daten für die anderen Bots," sagte sie.

Um diese Funktionalität zu implementieren, haben die Schöpfer dieser ZeuS-Variante den Nginx-Webserver in der Trojaner, so dass jeder infizierten Computer zu empfangen und Senden von Daten über das HTTP-Protokoll integriert.

Dadurch wird ihre Botnet widerstandsfähiger für festlegten, denn es nicht mehr ein single Point of Failure für Sicherheitsexperten zum Ziel gibt, und es verhindert auch, dass das Botnet-tracking-Systeme wie ZeusTracker aus ihre Arbeit tun.

"Zeustracker ist eine Website, die beachtliche Erfolge bei der Verfolgung und publishing-IP-Sperrlisten für Zeus-C & C-Servern auf der ganzen Welt gehabt hat", sagte Lelli, fügte hinzu, dass Zeus Wechsel zu P2P für diese Funktionen bedeutet, dass die Website nicht mehr in der Lage, genaue Zeus-C & C IP Block zu produzieren würde listet.

Unternehmen verlassen sich auf solche Listen um ZeuS Daten auf der Netzwerkebene zu blockieren, um diese Malware von Exfiltrating sensible Daten zu verhindern. Überwachung Verbindungsversuche für die C & C IP-Adressen hilft auch Unternehmen, die kompromittierte Computern innerhalb ihres Netzwerks zu identifizieren.

Symantec-Forscher haben diese neuen ZeuS-Variante, die Verteilung von Malware wie gefälschte Antiviren-Programme gesehen. Allerdings müssen sie noch herausfinden, wie es die erfasste Informationen zurück an die Angreifer in Ermangelung von C & C sendet Servern.

"Analyse noch nicht abgeschlossen, so dass wir an der Aufdeckung dieser Teil des Geheimnisses, das Gesamtbild herauszufinden arbeiten", sagte Lelli.

« Back