Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 11 de julio de 2009

Especial!! ZeuS Botnet for Dummies

Luego de abordar con bastante énfasis las actividades realizadas por una de las botnets más activas del momento, ZeuS, veamos una descripción más detallada de su capacidad delictiva.

Si hablamos de malware y botnets, sin lugar a dudas ZeuS posee una particular ventaja debido a la cantidad de zombis que forman parte de su plantel. Zeus está diseñado para robar cualquier tipo de información que se encuentre depositada en los equipos víctimas de forma remota, y realizar otros ataques también orientados al robo de información como phishing.

Por tal motivo, podríamos decir que Zeus es un spyware, aunque también tiene capacidades propias de otros tipos de códigos maliciosos como backdoors, troyanos y virus. Sin embargo, su autor menciona en el manual de instalación que no le agrada llamar de ninguna de esas formas a este crimeware, sino que prefiere referirse a la misma como un "software bot".

A pesar de la cara externa que conocemos de ZeuS (su interfaz web de administración y control de zombis), presenta ciertas características que constantemente evolucionan y se profesionalizan logrando una mayor flexibilidad y capacidad de adaptación para garantizar su funcionamiento sobre diferentes versiones de Windows. Esto hace de ZeuS una amenaza muy peligrosa y latente para cualquier sistema de información.

En este sentido, ZeuS también asegura su rendimiento “trabajando” en el nivel de privilegios 3 (donde corren las aplicaciones) del sistema operativo evitando así incompatibilidades entre la aplicación y los dispositivos del equipo (que funcionan en niveles más bajos). Aunque parezca un dato irrelevante, esto le permite conseguir una mayor flexibilidad y por ende un mayor rendimiento al momento de realizar las actividades fraudulentas y delictivas para las cuales fue concebido.

La última versión de ZeuS se encuentra escrita con la versión 9 del lenguaje C++, y entre las funcionalidades que posee este aplicativo web (malicioso), podemos mencionar:
  • Monitorea el tráfico de red (sniffer) del protocolo TCP.
  • Intercepta las conexiones FTP y POP3 de cualquier puerto.
  • Intercepta las solicitudes http y HTTPS de todas las aplicaciones que funcionen con la librería wininet.dll (por ejemplo IE). Esto desmitifica el mito en cuanto a que ZeuS utiliza BHO para interceptar las solicitudes a través de IE.
  • Funciones de servidor (socks4/4a/5).
  • Backconnect para todos los servicios del equipo infectado ((RDP, Socks, FTP, etc.).
  • Obtiene capturas de pantallas en tiempo real.
  • Capacidad de realizar ataques de phishing.
  • Incorpora mecanismos anti-análisis.
  • Constructor interno del troyano que disemina y archivo de configuración.
  • Cifrado polimórfico.
Otro dato técnico importante es que toda la comunicación realizada por ZeuS es a través de un algoritmo de cifrado simétrico (RC4).

El servidor es el corazón de ZeuS, y de cualquier botnet, ya que es quien permite obtener todos los registros de los equipos infectados que forman parte de la botnet y ejecutar comandos de manera remota.

Por otro lado, muchas botnets utilizan servidores virtuales para realizar sus maniobras delictivas. Sin embargo, esto juega en contra de la botnet cuando es muy grande, caso ZeuS, ya que por lo general, los servidores virtuales no poseen demasiados recursos, por lo tanto, es habitual que los botmaster utilicen servidores dedicados para alojar la bot. Esto es un dato importante a tener en cuenta durante la faz de investigación.

En consecuencia, y como toda aplicación, necesita un mínimo de recursos para poder correr de manera satisfactoria, en el caso de esta botnet, los requisitos son tan sólo disponer de 2GB de memoria RAM y 2x de frecuencia de CPU a 2 GHz. Como vemos, los requisitos mínimos no son para nada un limitante VIP. Cualquier usuario puede implementar ZeuS, incluso, sin contar con esos requisitos mínimos.

Además, se supone que el equipo donde se ejecuta es un servidor HTTP con PHP (lenguaje en el que se suele desarrollar estos crimeware), y MySQL (para crear la base de datos con la información estadística que se desprende de su actividad). Otro requisito es Zend Optimizer, necesario para optimizar y proteger los scripts.

Con respecto a las actualizaciones, ZeuS también las tiene, pueden ser “pisadas” por versiones más recientes sin demasiados esfuerzos. Durante el último semestre se han liberado cinco versiones (a razón de una cada aprox. 35 días) con corrección de errores, cambios y nuevas características, sin contar las versiones con arreglos menores.

Luego de mirar el diagrama, muchos se preguntaran qué significa el número de cada versión. A modo didáctico podríamos decir que si tenemos la versión "A.B.C.D"…

A significa un cambio completo del paquete crimeware.
B
representa cambios importantes que causan incompatibilidad total o parcial con versiones anteriores.
C especifica corrección de errores, funcionalidades incorporadas, mejoras, etc.
D es el número de refuds (cambios) para la versión actual.

Esto es sólo un pantallazo general de lo que puede y representa ZeuS en cuanto a las capacidades y maniobras que posee dentro de un ambiente delictivo donde los aplicativos crimeware son los actores principales.

Información relacionada

Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
Entidades financieras en la mira de la botnet ZeuS. Segunda parte
Entidades financieras en la mira de la botnet ZeuS. Primera parte
ZeuS Botnet. Masiva propagación de su troyano. Segunda parte
ZeuS Botnet. Masiva propagación de su troyano. Primera parte
LuckySploit, la mano derecha de ZeuS

# Jorge Mieres

Ver más