ZeuS-P2P internals – understanding the mechanics: a technical report II

Hace unos días se publicaba aquí en la comunidad DragonJAR la primera parte sobre el artículo liberado por el CERT de Polonia, donde se detallaban el comportamiento  y las mutaciones que ha tenido el famoso troyano bancario ZeuS.

Si deseas ver el informe completo te lo dejo a continuación:

Otra de las características de la nueva versión de Zeus es el uso de proxys para las inyecciones.

¿Esto que permite? Pues imaginad que "los malos" han estado haciendo pruebas contra la banca electrónica y están adaptando la inyección. Con estos cambios permiten volver a servir en vivo la inyección con los cambios modificados. Entre otras cosas.
Para que veáis un ejemplo de esto.

imagen1

Lo divertido del asunto es que en algunos casos que me he encontrado que el troyano hacía uso de tecnología P2P proxy para descargar la inyección en vivo pero cuando tu mirabas el código fuente la dirección no era la del servidor externo si no la del propio banco!!!!

La  muestra además de hacer la parte de robo de credenciales como un troyano bancario que es, también permite lanzar ataques de denegación de servicio, para ello el troyano admite ciertas órdenes.

imagen2

Si el ataque es dirigido a una dirección IP, se lanzará un ataque del tipo UDP. Si el ataque va dirigido a una URL(recurso) se lanzarán peticiones GET y POST a la URL correspondiente.

DGA

Una de las mejoras que hay en el informe es el DGA.

dga

Para los que no están familiarizados con el malware el DGA es un sistema programado por el creador del troyano. Dependiendo de distintos factores como son el día el mes o el sistema operativo el troyano generará un dominio. Este dominio puede estar o no registrado por el criminal. Puesto que el ya sabe que dominios se van a generar, esta técnica es usada para dificultar aún mas la tarea de los investigadores, ya que los paneles de control van cambiando según el día y cuando el delincuente desee enviar o recibir información de los equipos zombis solo debe registrar el dominio en una fecha determinada para obtenerla..

Subir