Jdi na obsah Jdi na menu
 


Dr. Zeus: Bot v klobouku

10. 11. 2010

Agent Zbot průběžně kontroluje navštívené webové stránky z ohrožení stroj zachytí WinAPI funkce. Pokud připojení SSL-li se na zdroje, které obsahují data o zájmu, provede následující akce:

- Řetězec dotazu parsování šablon pro uživatelské jméno a heslo = * = *.
- Řetězec dotazu rozebrat pro template / bsi.dll /? T =

Pokud budou úspěšní šablony zahájit řízení pro zaznamenávání stisků kláves a klepnutí myší, stejně jako postupů pro snímání screenshotů (další informace je zapsán do samostatného souboru a poslal ke škodlivému serveru).

Nicméně, jako toto chování bylo pozorováno v jiných verzích Zeus. Opravdu zajímavý objev v tomto případě je spojeno se způsobem, který tyto vzorky hledat logické zařízení připojená k infikovaného počítače. Zbot hledá soubor, který obvykle obsahuje klávesy pro oprávněné přihlášení klienta používá v on-line bankovnictví a je-li soubor nalezen, bude kopie zaslána na server, spolu s poměrně málo jiných věcí, které nechcete trestní vědět o:

    * Informace o připojených zařízení a čipových karet, data
    * Klávesové zkratky mouseclick a informací, nahrané a převedeny na serveru v samostatném souboru
    * Cookies

Popis podporu čipových karet Zeus modul

Funkce Zeus byl aktualizován s novým modulem, který může řídit tok informací mezi smart karty a různé speciální čtecí zařízení. Vzhledem k tomu, že čipové karty podporují subsystému architektury v operačním systému Windows má poměrně složitou strukturu, což znamená, víceúrovňový systém řidičů, modul je pečlivě a bohatě strukturované (obr. 1).

 

http://kucera.petrik.sweb.cz/F/zeus-1-300x291.png

Obrázek. 1 - Podpora karet SmartCard subsystému architektury

Tento modul, který pracuje na SmartCard úrovni API, je založen na interakci s Resource Manager. Ta může zvládnout řízení přístupu k různým čtecí zařízení a smart-karty pracující současně. Ve skutečnosti, sledování a řízení připojených smart-karet by mohla být provedena dvěma způsoby:
• kontrola a přihlášení aktuální stav zařízení na čtení;
• podle pachatel aktivně manipulovat procesu.

Pořízení smart-karet informačního systému

Tento modul určuje, zda speciální čtečky je přístroj připojen, nebo ne. To také kontroluje a zaznamenává změny dokončených, uchovávání těchto informací ve struktuře SCARD_READERSTATE. Tato struktura obsahuje název zařízení, aktuální program a hardware stát, a karta atributy.

Tato struktura je uložena v paměti procesu na vyrovnání náhodný, a je pak poslán přes síť kanál mezi attacker'scomputer a infikovaný počítač.

V původní formě to vypadá takto:

 

http://kucera.petrik.sweb.cz/F/zeus-2.png

 

Dálkové ovládání zařízení na čtení

Na základě shromážděných informací, útočník je schopen generovat sekvence čipové karty-činností, které je poslán přes síť kanálů, jak již bylo popsáno. Tato sekvence má být uloženy a zpracovány na infikovaný počítač. To znamená, že je prvkem interpretace funkcí knihovny Winscard.dll: malware převádí sekvence na odpovídající sekvenci volání API.

    * SCardGetStatusChangeA
    * SCardStatusA
    * SCardDisconnect
    * SCardControl
    * SCardEstablishContext
    * SCardListReadersA
    * SCardListReadersA
    * SCardConnectA
    * SCardBeginTransaction
    * SCardEndTransaction
    * SCardTransmit
    * SCardGetAttrib

Toto je schematicky znázorněno na obr. 2.

 

http://kucera.petrik.sweb.cz/F/zeus-21.png

Obrázek 2: Modul funkčnost na SmartCard úrovni API

Kód ve své původní podobě vypadá takto.

 

http://kucera.petrik.sweb.cz/F/zeus-5.png

 

Použití základních funkcí SmartCard API, může útočník vybrat vhodný čtenáře zařízení a připojení k určitému smart-karet, on může číst a zapisovat data na smart-karty, a on může používat některé speciální funkce poskytuje smart-karty, Například, zpracování vstupní heslo nebo generování sekvence náhodných znaků.

Výsledkem zpracování je uložena a zaslána pachatel za účelem opravy escape-sekvence. Schematicky taková interakce může být, jak je znázorněno na následujícím obrázku.

 

 

http://kucera.petrik.sweb.cz/F/zeus-3.png

Zdroj: ESET Threat Blog

 

Komentáře

Přidat komentář

Přehled komentářů

Zatím nebyl vložen žádný komentář