Pull to refresh

Zeus trojan первое знакомство

Reading time 3 min
Views 3.2K
Привет, Хабр!
Вот увидел «волну» статей про хеки, непохеки, 1337 h4x0rz… etc. И тут подумал что Хабру будет интерестно почитать про малварь и как она работает не от кросспостинга новостей, а так сказать от рук которые с ней работали.

Сразу оглашу это:
Вся информация в этой статье предоставлена чисто для ознакомления и рассчитана прежде всего указать на ошибки в системах безопасности.


В большинстве случаев антивирус(далее АВ) справлялся со всеми вредными зверушками, но в один прекрасный солнечный денек :) мне пришлось залезть, так сказать, под капот одной из этих «зверушек».

Дело было в в августе 44-го2008-го года. На то время я был немного технически и практически подкован в плане борьбы с всякого рода малварями и тп.

Так вот, лазая по сайтам сомнительного характера, на которые меня направил поисковик в поисках нужной мне софтины, nod32 вдруг закричал, что мне пытаются скормить нечто Trojan-Spy.Win32.Zbot(далее zeus\zbot\зевс). Понятия не имею что мне в голову стукнуло, но уж очень приспичило изучить это зверюгу.

Про то как я наблюдал за зевсом, вышел на его командный центр и получил доступ к нему, под катом.

В этой статье я расскажу поверхностно о трояне, который меня втянул в «тему» с малварями и тп… далее, если Хабарюзерам будет интересн, о я поведаю о других увлекательные случаях работы с малварями, статьях о работе и обезвреживании интересных экземпляров.


Привет, Zeus!


Первым делом я полез в google и узнал что же за прелесть пыталась у меня поселиться, поисковик особо не сопротивлялся и поведал мне урлы с описанием.

Итак, что я узнал ключевого:
  • Что оно такое и что оно умеет?
    • Троян формграббер 1 шт. (позже выйдет сл. версия где будет поддержка системы инжектов)
    • Грабит формы только у Internet Explorer до 7й версии включительно (позже выйдет сл. версия с поддержкой модулей, один из модулей позволит трояну грабить формы браузера FireFox)
    • Грабит куки и данные сохраненных форм
    • Может сделать socks5 прокси сервер из зараженного ПК, если тот находится вне NAT, то есть имеет реальный\белый ip адрес(позже выйдет модуль backconnetc, который позволит обходить ограничение связанное с тем, что ПК может быть за NAT)
    • Убить систему
    • Граббер сертификатов и sol
    • «Скармливает» пользователям зараженного ПК страницы фейков
    • Поиск и удаление или закачка файлов на удаленный сервер
    • и остальные вещи свойственные этого рода малварям...
  • Где живет и из чего слеплен?
    • OS Windows XP x32
    • Работает как под админской учетной записью, так и под учеткой юзера обыкновенного и даже под учеткой гостя
    • Бот полностью основан на перехвате WinAPI в UserMode (Ring3), это значит, что бот не использует
      какие-либо драйвера и обращения в Ring0.
    • Написан на Visual C++ версии 9.0+, при этом не используются дополнительные библиотеки
      типа msvcrt, ATL, MFC, QT и т.д.
    • и другие особенности...

В сл. статьях будет больше про этого троя, так как в этой статье речь идет о боте старой версии, я решил не удаваться в подробности его функционала и возможностей.


Далее я узнал интересности о том, как он заражает ПК. Оказалось, бот состоит из 3 ключевых вещей:
1. Сам бот.
2. Файл конфигурации.
3. Гейт\админка.

После заражения ПК он скачивал конфигурационный файл, где были указаны его настройки и адреса к гейту, куда он должен отправлять награбленное. То есть, в теории, если запустить его на ПК без интернета, ничего плохого не будет, так как он не будет знать куда ему отправлять отчеты с ворованным добром.

Поставив себе VirtualBox, а на нее Win XP, я полез в логи АВ и извлек урл по которому находился ехе трояна.
Скачав троян на виртуалку, я не поспешил его запускать там. Я скачал пакетный сниффер Wireshark и запустил его, отрубил доступ в сеть виртуалке с реальной машины, а потом уже запустил троян на виртуалке…

И тут я увидел как трой начал гет запросом пытаться забрать свой конфиг, скопировав урл к конфигу и скачав его было обнаружено, что тот зашифрован и просто так не узнать что там находится. Так как это была виртуалка, то систему мне было не жалко :) и я вернул доступ в сеть виртуалке, продолжив смотреть за логом сниффера.

После скачки конфига он начал получать в свой гейт, бот получал и отддавал информацию от гейта по http протоколу post и get запросами.

Открыв IE, я полазил по сайтам, повбивал в некоторые формы данные, сохранил пароли где предлагало и тп.
Открыв опять лог сниффера и отфильтровав мои похождения по интернетам, я увидел, что бот отправляет информацию с каждым моим post запросом, то есть троян реально отправлял все данные моей активности в IE.

Большего я в то время узнать не мог и не хотел интерес поутих.

Я начал закрывать вкладки с поисковыми запросами по зевсу и тут увидел на в одной из вкладок «Заливаем шел в админку Zeus», вот интерес у меня и проснулся опять.

Продолжение следует...
как я получил доуступ к серверу на котором был командный центр Zeus (оно же гейт, админка и тп), переписка с владельцем ботнета в тхт файлике на сервере, управление ботнетом.


PS: с удовольствием отвечу на ваши вопросы.

UPD: Часть вторая — Привет, Trojan-Spy.Win32.Zbot!!! часть вторая… про шелы, руткиты, ескплоиты и чатик в txt файле
Tags:
Hubs:
0
Comments 10
Comments Comments 10

Articles