Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников. Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя.

По статистике ZeuS Tracker, на сегодняшний день всего зафиксировано 1296 командных центра данного ботнета, из них активны сейчас только 697.

В конце прошлого года на хакерских форумах прошёл слух, что разработка одного из наиболее известных троянов Zeus (или ZBot) прекращена, а разработчик передал исходники программы другому вирусописателю. При этом говорилось, что счастливчик-новообладатель — автор другого троянца SpyEye — усиленно старается объединить эти два семейства в новый, более мощный продукт.

Однако новые свидетельства утверждают, что исходный кода Зевса был продан или передан третьему лицу, которое сейчас активно ищет новых покупателей среди киберпреступности. Это может привести к разработке абсолютно новых версий Zeus/ZBot.

Инструкция предназначена для повышения осведомленности сотрудников корпоративных служб информационной безопасности при реагировании на случаи хищений денежных средств с использованием систем интернет-банкинга. Она была подготовлена на основе обобщенной практики реагирования компьютерных криминалистов Group-IB на случаи мошенничества при компрометации реквизитов систем дистанционного банковского обслуживания.

В инструкции подробно указываются причины и признаки инцидентов, пошагово расписываются технические и организационные мероприятия, отдельное внимание уделяется вопросам предупреждения хищений.



Документ сопровождается подробными иллюстрированными приложениями. Этот материал создавался с учетом существующих юридических норм и признанных экспертных рекомендаций и может использоваться для разработки внутренних нормативных документов.

Intro

Бот Zeus, пожалуй, один из самых известных представителей вредоносного программного обеспечения. Zeus ведет свою историю с 2007 (или даже 2006) года. Многие ошибочно полагают, что Zeus — просто очередной троян, однако это не так. В действительности, Zeus представляет собой образец так называемого crimeware — программного обеспечения, предназначенного для совершения противоправных действий. В данном случае основное предназначение crimeware Zeus — кража учетных данных, используемых для проведения финансовых операций. По информации аналитиков, он отвечает за 90 % случаев банковского мошенничества в мире.

Другим заблуждением является утверждение о существовании одного огромного ботнета Zeus. На самом же деле Zeus лежит в основе очень большого числа – вероятно, нескольких сотен – различных ботнетов, и все они контролируются разными группировками киберпреступников. Создатели Zeus просто продают его заинтересованным лицам, а они уже с его помощью формируют собственные ботнеты. Таким образом, правильно говорить не о ботнете Zeus, а о ботнетах, созданных при помощи Zeus. Для отслеживания информации о командных серверах Zeus в феврале 2009 года Роман Хюсси (Roman Hussy), швейцарский специалист по компьютерной безопасности, создал сайт ZeusTracker.

Начало здесь.

Файловый инфектор

Идея заражения файлов получила свое развитие во вредоносной программе PE_LICAT, обнаруженной Trend Micro в октябре 2010 года. PE_LICAT представляет собой продвинутый дроппер Zeus, его основная функция — загрузка и запуск новых файлов Zeus с удаленных серверов. В исполняемые файлы внедряется 1771 байт вредоносного кода. PE_LICAT использует те же механизмы, что и в Zeus 2.1.0.10 — DGA с идентичным алгоритмом и процедуру проверки подписи загружаемого файла. Подробное описание DGA приведено в отчете Trend Micro «File-Patching ZBOT Variants» pdf, eng).

Вкратце — в DGA используется функция создания хэша из Windows Crypto API. Список доменов формировался при запуске по специальному алгоритму путем хэширования текущей даты и минуты (час не использовался). Кстати, во многих источниках ошибочно пишут то 800, то 1020 уникальных доменов (эти константы действительно используются в алгоритме). На самом деле их было всего 60 в день (минуты умножались на 17 и брался остаток от деления на 1020, 1020/17=60). Хэши переводились в ASCII коды и к ним добавлялись префиксы доменов верхнего уровня .biz, .info, .org, .com, .net, а также строка /forum. Следует отметить, что PE_LICAT не является вирусом в прямом смысле этого слова (как его классифицирует Kaspersky Lab) — он не способен самостоятельно заражать файлы. Запуск процедуры заражения файлов инициирует Zeus из семейства 2.1, получивший название TSPY_ZBOT.BYZ в классификации Trend Micro.

Смартфоны тоже под ударом

Мобильные устройства переживают свой бум. Рост использования смартфонов, естественно, не мог не повлиять на развитие вредоносного программного обеспечения (ВПО) для этих устройств. По сравнению с персональными компьютерами, планка пользовательской грамотности относительно вопросов информационной безопасности здесь еще ниже. Это открывает для злоумышленников большое поле для преступной деятельности. Простейшим способом увода денег являются вредоносные приложения, отправляющие SMS сообщения на платные номера. Но разработчики Zeus и SpyEye не сидят, сложа руки, и в 2010-2011 годах из-под их «пера» выходят модификации, поражающие своей изощренностью.
Многие, наверное, знают, что одним из популярных способов защиты проведения финансовых операций с использованием Интернета является mTan (mobile transaction authentication number — мобильный код аутентификации транзакций) — специальная последовательность цифр, которая присылается на ваш телефон в SMS при проведении какой-либо операции (транзакции), например, при оплате через WebMoney. Распространение смартфонов тут играет на руку злоумышленникам, разработавшим механизм обхода технологии mTan посредством вредоносных приложений для широко распространенных мобильных платформ.

По информации krebsonsecurity федеральные власти Атланты в ближайшее время официально объявят об аресте и предъявленных обвинениях уроженцу Твери Александру Панину (предполагаемый Gribodemon). Указывается, что именно Панин был автором одного из самых известных в мире банковских вредоносных инструментов SpyEye.



В 2013 году Панин находился в розыске по линии Интерпола на основании ордера No. 1:11-CR-557, выданного окружным судом Джорджии. Тогда же он был задержан властями Доминиканской Республики и экстрадирован в США.


[Ордер № 1:1-CR-557]

Предыдущая часть здесь.

Два года назад мы писали про арест главного автора SpyEye, который известен под псевдонимом Gribodemon (Александр Панин). Все это время уроженец Твери ожидал суда и вынесения приговора в американской тюрьме. Известный американский security-журналист Brian Krebs указывает в своем блоге, что Панин и его «бизнес-партнер» алжирец Hamza Bendelladj (Bx1) получили 24 года на двоих. Панин получил девять с половиной лет, а Bx1 пятнадцать. Если первый был создателем самого трояна, то второй специализировался на его продаже.



Про SpyEye было написано уже достаточно много, так что нет смысле повторять это еще раз. Стоит отметить, что до того, как т. н. полнофункциональные crimeware toolkits были еще редкостью, Zeus и SpyEye определили формат этого бизнеса как такового. Клиенту продавался готовый инструмент для создания ботнета и централизованного выкачивания денег из подвергшихся компрометации жертв путем кражи данных онлайн-банкинга. Далее украденные средства различными порциями распределялись по счетам злоумышленников и также порциями обналичивались с использованием т. н. денежных мулов.