Forum Library
Professional
Возвращаясь к вопросу о слиянии SpyEye и ZeuS
В октябре 2010 года я обнаружил, что авторы банковских троянов SpyEye и ZeuS — некогда конкуренты на рынке создания ботнетов и средств управления ими — планировали прекратить дальнейшую разработку ZeuS и соединить два этих семейства вредоносного ПО в один супертроян. Первоначально я слышал скептические отзывы об этой новости от людей из сообщества компьютерной безопасности. Но тремя месяцами позднее эксперты по вопросам безопасности начали замечать признаки появления нового гибридного трояна, причем автор(ы) выпускают серию бета-релизов, которые обновляются едва ли не ежедневно.
Гибридный троян SpyZeuS позволяет пользователям взаимодействовать с собой при помощи обоих интерфейсов, как ZeuS (слева), так и SpyEye.
И не беда, что первое сообщение о появлении объединенного трояна SpyEye/ZeuS (далее в этой статье будем называть его SpyZeuS) — подробно описывающее его в посте на блоге McAfee — оказалось фальшивкой. Однако немногим более недели назад, компания TrendMicro обнаружила снимки экрана и описание компонентов SpyZeuS, причем, по-видимому, автор получил помощь от других кибер-преступников в доведении до блеска этого последнего релиза. В частности, это коснулось модуля, который крадет номера кредитных карт со взломанного ПК и плагина, предназначенного для атаки на «анти-троянское» ПО Rapport от Trusteer. (Амит Клейн (AmitKlein) из Trusteer написал по поводу этого компонента в блоге здесь).
Seculert, служба оповещения о новых угрозах, созданная бывшим экспертом RSA по мошенничествам, Авивом Раффом (AvivRaff), предоставляет несколько снимков экрана административной панели SpyZeuS, которая показывает, что автор идет навстречу пользователям обоих троянов, позволяя клиентам управлять своими ботнетами при помощи традиционных Web-интерфейсов, как ZeuS, так и SpyEye.
Гибридный троян SpyZeuS позволяет пользователям взаимодействовать с собой при помощи обоих интерфейсов, как ZeuS (слева), так и SpyEye.И не беда, что первое сообщение о появлении объединенного трояна SpyEye/ZeuS (далее в этой статье будем называть его SpyZeuS) — подробно описывающее его в посте на блоге McAfee — оказалось фальшивкой. Однако немногим более недели назад, компания TrendMicro обнаружила снимки экрана и описание компонентов SpyZeuS, причем, по-видимому, автор получил помощь от других кибер-преступников в доведении до блеска этого последнего релиза. В частности, это коснулось модуля, который крадет номера кредитных карт со взломанного ПК и плагина, предназначенного для атаки на «анти-троянское» ПО Rapport от Trusteer. (Амит Клейн (AmitKlein) из Trusteer написал по поводу этого компонента в блоге здесь).
Seculert, служба оповещения о новых угрозах, созданная бывшим экспертом RSA по мошенничествам, Авивом Раффом (AvivRaff), предоставляет несколько снимков экрана административной панели SpyZeuS, которая показывает, что автор идет навстречу пользователям обоих троянов, позволяя клиентам управлять своими ботнетами при помощи традиционных Web-интерфейсов, как ZeuS, так и SpyEye.
Рафф сказал, что автор(ы) добавляет новые функции, как в сам бот, так и в панели управления, почти каждый день.
«В настоящий момент идет напряженная разработка», сказал Рафф. «Вот почему та версия, о которой мы писали, названа 1.3.05 бета, - потому что разработка ее продолжается. Автор еще ее испытывает и проверяет».
В тот же самый день, когда появился пост Раффа, один мой источник прислал ссылку на видео, которое разместил на популярном хакерском форуме один его участник, пользователь SpyZeuS, располагающий даже еще более новой версией, 1.3.09 бета. На этом видео (которое начинается с перепутывания логотипов ZeuS и SpyEye) показано, как его автору удалось взломать защиту, встроенную в SpyEye, которая не дает покупателям возможности делать неавторизованные копии этого пакета. Очень скоро после опубликования видео, учетная запись этого участника форума была взломана, после чего была опубликована его личная и финансовая информация.
Видео
Обновлено: Добавлен ответ от Trusteer. Также, в прежней версии этой статьи пост в блоге McAfee ошибочно приписывался Trend Micro. В настоящем варианте эта ошибка исправлена.
Продается исходный код ZeuS. Ставка 100 000 долларов, кто больше?
«В настоящий момент идет напряженная разработка», сказал Рафф. «Вот почему та версия, о которой мы писали, названа 1.3.05 бета, - потому что разработка ее продолжается. Автор еще ее испытывает и проверяет».
В тот же самый день, когда появился пост Раффа, один мой источник прислал ссылку на видео, которое разместил на популярном хакерском форуме один его участник, пользователь SpyZeuS, располагающий даже еще более новой версией, 1.3.09 бета. На этом видео (которое начинается с перепутывания логотипов ZeuS и SpyEye) показано, как его автору удалось взломать защиту, встроенную в SpyEye, которая не дает покупателям возможности делать неавторизованные копии этого пакета. Очень скоро после опубликования видео, учетная запись этого участника форума была взломана, после чего была опубликована его личная и финансовая информация.
Видео
Обновлено: Добавлен ответ от Trusteer. Также, в прежней версии этой статьи пост в блоге McAfee ошибочно приписывался Trend Micro. В настоящем варианте эта ошибка исправлена.
Продается исходный код ZeuS. Ставка 100 000 долларов, кто больше?
В конце прошлого года все онлайновые форумы кибер-преступников гудели от слухов о том, что разработка самого знаменитого в мире банковского трояна — ZeuS — прекращена, после того как его создатель передал документацию по этому вредоносному ПО конкурирующему разработчику. Получатель этой документации — автор трояна SpyEye – занимается разработкой нового штамма вредоносного ПО, в котором оба эти семейства вредоносного ПО объединяются. Однако появившиеся новые сведения наводят на мысль, что исходный код последней версии ZeuSможет быть также передан или продан некоей третьей стороне, которая намерена перепродать его тому покупателю из криминального подполья, который предложит наибольшую цену, а такое развитие событий гарантирует нам в скором времени появление совершенно новой ветви в семействе ZeuS.
Согласно сведениям источников, автор ZeuS — известный на криминальных форумах, как «Slavik» и «Monstr» — передал автору SpyEye (известному как «Gribodemon») общее руководство над базой исходного кода ZeuS, при условии, что Gribodemon согласится обеспечить текущую поддержку для существующих клиентов ZeuS, а это объемная база пользователей, требующая значительного внимания и заботы. Источники также уверены, что Slavikмог отдельно продать исходный код и сам, якобы, тому лицу, которое фигурирует на снимке экрана ниже.
На основных форумах кибер-преступников действует механизм баллов репутации участников, причем эти баллы зарабатываются в течение длительного времени, когда другие участники форума добавляют вам баллы - положительные или отрицательные, примерно так, как это происходит на eBay. Объявление конкурса на этом снимке экрана вряд ли может быть фальшивкой: из снимка видно, что данный участник форума зарегистрирован 13 июня 2009 года и заработал за это время 18 положительных баллов репутации, и ни одного отрицательного.
Этот продавец предлагает полный исходный код ZeuS последней версии 2.0.8.9 "со всеми наворотами", и просит не беспокоиться членов форума, не имеющих значительного бюджета. Но сколько может в действительности стоить этот код? Во второй половине прошлого года автор ZeuS продавал однопользовательские лицензии по ценам до 10 000 долларов за штуку. Авив Раф (Aviv Raff), технический директор и со-основатель Seculert, считает, что за исходный код этот человек может запросить как минимум в десять раз больше, поскольку код даст покупателю право и возможность самому продавать лицензии и продолжать разработку этого семейства вредоносного ПО.
Но не предлагайте золото, кредитные карты или наличные: этот продавец принимает платежи только в виртуальной валюте Liberty Reserve. Более того, платеж должен быть сделан через службу депонирования этого форума (функциональная возможность форума, не позволяющая пользователям обмануть друг друга – которая даст заметную прибавку к окончательной цене продажи).
Согласно сведениям источников, автор ZeuS — известный на криминальных форумах, как «Slavik» и «Monstr» — передал автору SpyEye (известному как «Gribodemon») общее руководство над базой исходного кода ZeuS, при условии, что Gribodemon согласится обеспечить текущую поддержку для существующих клиентов ZeuS, а это объемная база пользователей, требующая значительного внимания и заботы. Источники также уверены, что Slavikмог отдельно продать исходный код и сам, якобы, тому лицу, которое фигурирует на снимке экрана ниже.
На основных форумах кибер-преступников действует механизм баллов репутации участников, причем эти баллы зарабатываются в течение длительного времени, когда другие участники форума добавляют вам баллы - положительные или отрицательные, примерно так, как это происходит на eBay. Объявление конкурса на этом снимке экрана вряд ли может быть фальшивкой: из снимка видно, что данный участник форума зарегистрирован 13 июня 2009 года и заработал за это время 18 положительных баллов репутации, и ни одного отрицательного.Этот продавец предлагает полный исходный код ZeuS последней версии 2.0.8.9 "со всеми наворотами", и просит не беспокоиться членов форума, не имеющих значительного бюджета. Но сколько может в действительности стоить этот код? Во второй половине прошлого года автор ZeuS продавал однопользовательские лицензии по ценам до 10 000 долларов за штуку. Авив Раф (Aviv Raff), технический директор и со-основатель Seculert, считает, что за исходный код этот человек может запросить как минимум в десять раз больше, поскольку код даст покупателю право и возможность самому продавать лицензии и продолжать разработку этого семейства вредоносного ПО.
Но не предлагайте золото, кредитные карты или наличные: этот продавец принимает платежи только в виртуальной валюте Liberty Reserve. Более того, платеж должен быть сделан через службу депонирования этого форума (функциональная возможность форума, не позволяющая пользователям обмануть друг друга – которая даст заметную прибавку к окончательной цене продажи).
Аферисты, которые создают ботнеты с помощью пакетов криминального ПО SpyEyeиZeuS, очень расстроены двумя Web-службами, которые помогают Интернет-провайдерам и компаниям блокировать коммуникации инфицированных машин с командными серверами ботнетов. То рвение, с которым кибер-преступники пытаются задушить и дискредитировать эти анти-мошеннические службы, само по себе доказывает, что службы эти работают, как задумано, и что «плохие парни» несут из-за них финансовые потери.Творения шведского эксперта по безопасности Романа Хюсси (RomanHüssy), службаZeusTracker и ее сестра-близнец SpyEyeTracker, подверглись бесчисленнымраспределенным атакам типа «отказ в обслуживании» (DDoS) со стороны хозяев ботнетов, видимо, в качестве мести за то, что их сетевая инфраструктура отслежена и зафиксирована этими службами. Дошло до того, что кто-то написал фальшивое письмо о самоубийстве от имени Хюсси и разослал его членам его семьи и друзьям, что побудило местную полицию побеспокоить эксперта, расследуя его жизненные обстоятельства. Но эти атаки не запугали Хюсси и не вывели из игры его службы.
Теперь атакующие начинают придумывать более скрытые и изощренные способы нанести ответный удар. Серия дискуссий на крайне закрытых подпольных русскоязычных форумах, обслуживающих похитителей данных кредитных карт, показывает, что хозяева ботнетов все больше теряют терпение и стремятся поскорее найти решение, которое выведет из строя Хюсси и/или службы слежения раз и навсегда (чтобы прочесть эти дискуссии, щелкните на этих изображениях два раза).
«Атаки типа DDoS не дают нужных результатов. Сейчас пробиваем всю его инфраструктуру, палим работу скриптов», пишет пользователь с ником Sal, который утверждает, что специализируется на организации «непробиваемых серверов». «Теперь мы готовим узконаправленную атаку. Это обойдется дешевле, и быстро даст результат, хотя бы временный. Давайте думать над этим».
К дискуссии присоединяются другие участники форума. Один предлагает всем вместе скинуться на наемного убийцу. «Проще и эффективней просто скинуться и нанять киллера, и конец истории», пишет пользователь Femar. Другой участник форума, выступающий под ником Deviant, советует попотчевать Хюсси органической ртутью. «Диметилртуть – бесцветная жидкость. Одна капля на руку проникнет даже через толстые перчатки. Летальный исход гарантирован в течение месяца».
Однако участники форума, по-видимому, больше склоняются к идее распространить конфигурационные файлы ZeuS и SpyEye (то есть файлы, где указано местонахождение ключевых частей ботнета, таких, как место хранения украденных данных) на легальных Web-сайтах. В чем состоит их цель? Заставить «трекеры» SpyEye и ZeuS опознать и обозначить легальные добропорядочные сайты, как вредоносные, чтобы подорвать доверие провайдеров к «трекерам».
Я вчера связался с Хюсси при помощи мгновенных сообщений, и спросил, не обнаружил ли он какие-либо конфигурации SpyEye или ZeuS на легальных сайтах. Он лишь рассмеялся.
«Прежде чем внести командный сервер ботнета в черный список, ZeusTracker проверяет, действительно ли этот сервер функционирует, как таковой», сказал Хюсси. «Эти ребята понятия не имеют о том, как работает ZeusTracker».
Где-то в конце февраля пользователь Hobo на этом криминальном форуме возобновил дискуссию о борьбе с созданиями Хюсси, заметив, что «прошел месяц, а трекер живее всех живых».
Sal откликнулся признанием, что план с черным списком не сработал. «Hobo, валить его слишком дорого. Интерес проявил только я. Дешевле было переработать схемы своей работы. Тем не менее, лично для меня этот бой бесследно не прошел, я понял, что мне нужно было понять из принципов его работы, отфильтровал кучу ботов, наделал ему ущерба на ту же сумму, насколько он наделал мне, обезопасил себя и клиентов. Тем не менее, мы до сих пор заинтересованы в активной работе по трекеру, правда, что нужны активные единомышленники, т.к. личного времени моего и моих людей крайне мало для отработки всех рабочих идей, что мы скопили. Деньги сразу говорю – не нужны. Нужно участие».
Sal завершает свой пост, сухо замечая, что существование ZeusTracker и SpyEyeTracker даже полезно, поскольку они делают нужное дело, приканчивая ботнеты хакеров-новичков, которые не умеют уберечься от этих служб.
«P.S. – к слову, лично для вас (хостеров), кто научился бороться с трекером, весьма выгодно его существование. Т.к. почти все новички попадают под раздачу. Но альтруизм погаснет последним!».
Похоже на то, что последний залп по проектам Хюсси произведен ни кем иным, как самим автором SpyEye: Посообщению лаборатории RSAFraudActionResearchLab, последняя версия SpyEye снабжена специальным плагином для атаки на домен SpyEyeTracker, который предназначен для отслеживания командных серверов ботнета SpyEye. Вот выдержка из этого поста:
«Самые последние версии SpyEye поддерживают механизм подключения отдельных модулей, в форме отдельных библиотек DLL. Программное обеспечение для построения троянов даже продается вместе с инструментальным пакетом разработчика (Software Development Kit - SDK), что позволяет ботмастерам разрабатывать собственные новые модули. Благодаря этому кибер-преступники могут создавать различные плагины, такие, как плагин для DDoS-атак, который мы отследили, и включать их в собственные варианты конфигурации SpyEye».
В сообщении RSA также говорится, что обнаружен вариант SpyEye, использующий фальшивые конфигурационные файлы, которые обсуждались на вышеупомянутом форуме кибер-преступников.
«Лаборатория FraudAction Research недавно обнаружила именно этот тип зараженной конфигурации в версии SpyEye 1.3.10 (последняя версия SpyEye на данный момент). В добавление к подлинным точкам сброса SpyEye — в файле collectors.txt, то есть в файле, используемом для конфигурирования точек сброса трояна, были обнаружены вполне легальные домены, такие, как google.com, myspace.com и vkontakte.ru (популярная русская социальная сеть)».
Нечасто нам удается узнать в таких подробностях, как преступники оценивают эффективность контрмер, принимаемых против них. Но из этой и других ветвей форума видно, что ботмастеры по-прежнему стараются придумать новые методы обезвреживания трекеров. Как выразился Sal, для него пасти стада ботов – работа, а не хобби.
«Для меня это не хобби», пишет он. «Чего мне бояться? Некогда, работаем».
Рисунок 1: Административная панель последней версии SpyEye (1.3.10) с плагином для DDoS-атак (Источник: RSA).
Теперь атакующие начинают придумывать более скрытые и изощренные способы нанести ответный удар. Серия дискуссий на крайне закрытых подпольных русскоязычных форумах, обслуживающих похитителей данных кредитных карт, показывает, что хозяева ботнетов все больше теряют терпение и стремятся поскорее найти решение, которое выведет из строя Хюсси и/или службы слежения раз и навсегда (чтобы прочесть эти дискуссии, щелкните на этих изображениях два раза).
«Атаки типа DDoS не дают нужных результатов. Сейчас пробиваем всю его инфраструктуру, палим работу скриптов», пишет пользователь с ником Sal, который утверждает, что специализируется на организации «непробиваемых серверов». «Теперь мы готовим узконаправленную атаку. Это обойдется дешевле, и быстро даст результат, хотя бы временный. Давайте думать над этим».
К дискуссии присоединяются другие участники форума. Один предлагает всем вместе скинуться на наемного убийцу. «Проще и эффективней просто скинуться и нанять киллера, и конец истории», пишет пользователь Femar. Другой участник форума, выступающий под ником Deviant, советует попотчевать Хюсси органической ртутью. «Диметилртуть – бесцветная жидкость. Одна капля на руку проникнет даже через толстые перчатки. Летальный исход гарантирован в течение месяца».
Однако участники форума, по-видимому, больше склоняются к идее распространить конфигурационные файлы ZeuS и SpyEye (то есть файлы, где указано местонахождение ключевых частей ботнета, таких, как место хранения украденных данных) на легальных Web-сайтах. В чем состоит их цель? Заставить «трекеры» SpyEye и ZeuS опознать и обозначить легальные добропорядочные сайты, как вредоносные, чтобы подорвать доверие провайдеров к «трекерам».
Я вчера связался с Хюсси при помощи мгновенных сообщений, и спросил, не обнаружил ли он какие-либо конфигурации SpyEye или ZeuS на легальных сайтах. Он лишь рассмеялся.
«Прежде чем внести командный сервер ботнета в черный список, ZeusTracker проверяет, действительно ли этот сервер функционирует, как таковой», сказал Хюсси. «Эти ребята понятия не имеют о том, как работает ZeusTracker».
Где-то в конце февраля пользователь Hobo на этом криминальном форуме возобновил дискуссию о борьбе с созданиями Хюсси, заметив, что «прошел месяц, а трекер живее всех живых».
Sal откликнулся признанием, что план с черным списком не сработал. «Hobo, валить его слишком дорого. Интерес проявил только я. Дешевле было переработать схемы своей работы. Тем не менее, лично для меня этот бой бесследно не прошел, я понял, что мне нужно было понять из принципов его работы, отфильтровал кучу ботов, наделал ему ущерба на ту же сумму, насколько он наделал мне, обезопасил себя и клиентов. Тем не менее, мы до сих пор заинтересованы в активной работе по трекеру, правда, что нужны активные единомышленники, т.к. личного времени моего и моих людей крайне мало для отработки всех рабочих идей, что мы скопили. Деньги сразу говорю – не нужны. Нужно участие».
Sal завершает свой пост, сухо замечая, что существование ZeusTracker и SpyEyeTracker даже полезно, поскольку они делают нужное дело, приканчивая ботнеты хакеров-новичков, которые не умеют уберечься от этих служб.
«P.S. – к слову, лично для вас (хостеров), кто научился бороться с трекером, весьма выгодно его существование. Т.к. почти все новички попадают под раздачу. Но альтруизм погаснет последним!».
Похоже на то, что последний залп по проектам Хюсси произведен ни кем иным, как самим автором SpyEye: Посообщению лаборатории RSAFraudActionResearchLab, последняя версия SpyEye снабжена специальным плагином для атаки на домен SpyEyeTracker, который предназначен для отслеживания командных серверов ботнета SpyEye. Вот выдержка из этого поста:
«Самые последние версии SpyEye поддерживают механизм подключения отдельных модулей, в форме отдельных библиотек DLL. Программное обеспечение для построения троянов даже продается вместе с инструментальным пакетом разработчика (Software Development Kit - SDK), что позволяет ботмастерам разрабатывать собственные новые модули. Благодаря этому кибер-преступники могут создавать различные плагины, такие, как плагин для DDoS-атак, который мы отследили, и включать их в собственные варианты конфигурации SpyEye».
В сообщении RSA также говорится, что обнаружен вариант SpyEye, использующий фальшивые конфигурационные файлы, которые обсуждались на вышеупомянутом форуме кибер-преступников.
«Лаборатория FraudAction Research недавно обнаружила именно этот тип зараженной конфигурации в версии SpyEye 1.3.10 (последняя версия SpyEye на данный момент). В добавление к подлинным точкам сброса SpyEye — в файле collectors.txt, то есть в файле, используемом для конфигурирования точек сброса трояна, были обнаружены вполне легальные домены, такие, как google.com, myspace.com и vkontakte.ru (популярная русская социальная сеть)».
Нечасто нам удается узнать в таких подробностях, как преступники оценивают эффективность контрмер, принимаемых против них. Но из этой и других ветвей форума видно, что ботмастеры по-прежнему стараются придумать новые методы обезвреживания трекеров. Как выразился Sal, для него пасти стада ботов – работа, а не хобби.
«Для меня это не хобби», пишет он. «Чего мне бояться? Некогда, работаем».
Рисунок 1: Административная панель последней версии SpyEye (1.3.10) с плагином для DDoS-атак (Источник: RSA).Обновлено: Организация, которая предоставляет услуги DNS трекерам ZeuSTracker и SpyEyeTracker, прислала мне следующие данные, иллюстрирующие всплески трафика, вызванные DDoS-атаками.
(с) Krebsonsecurity
