Вернуться   All about PC SECURITY (Все для безопасности ПК) > Треп, Юмор, Флейм..и все в этом роде :) > С миру по нитке
Войти через OpenID

С миру по нитке Обо всем понемногу.

Привет, Гость!
Что бы быть полноценным участником конференции, потратьте всего минуту на регистрацию.
Регистрация/Register Now
 
Опции темы Опции просмотра
Старый 18.03.2010, 09:15   #1
[email protected]
Пернатый пЫнгвЫн
 
Аватар для D@rkTwin
 
Регистрация: 01.07.2007
Адрес: SPb
Сообщений: 6,193
Благодарил(а): 1,694 раз(а)
Поблагодарили: 3,928 раз(а) в 1,480 сообщениях
D@rkTwin отключил(а) отображение уровня репутации
По умолчанию Хакерский инструментарий ZeuS



ZeuS — программное обеспечение для кражи личных данных пользователей с удаленных систем Windows. На
простом языке «Троян», «Бэкдор», «Вирус». Но автор не любит эти слова, поэтому далее в документации
он будет называть это программное обеспечение «Бот».

Бот разрабатывается на Visual C++ версии 9.0+, при этом не используются дополнительные библиотеки типа msvcrt, ATL, MFC, QT и т.д. Код бота пишется со следующими приоритетами (в порядке уменьшения):

1. стабильность (старательно проверяются все результаты вызова функций и т.д.),
2. размер (избегаются повторы алгоритмов, повторы вызовов функций и т.д.),
3. скорость (нет инструкций типа while(1){..}, for(int i = 0; i < strlen(str); i++){..}).

Последняя версия утилиты для распространения и управления трояном ZeuS содержит новейшее средство защиты от пиратов – привязанную к аппаратной конфигурации систему активации, аналогичную той, что можно обнаружить в Microsoft Windows.

Базовый вариант новейшей версии набора для работы с ZeuS стоит 4000 долларов, а дополнительный функционал может обойтись в 10 000 долларов. Новая система активации программы позволяет ее создателям иметь уверенность в том, что каждая лицензионная копия установлена только на один компьютер. После установки утилиты пользователи должны приобрести ключ, который подойдет только для одной машины.

Исследователи из SecureWorks, занимавшиеся изучением данной версии ZeuS, пишут, что с таким уровнем защиты вредоносных программ от нежелательного копирования они столкнулись впервые.

Система активации – не единственное, что разработчики ZeuS позаимствовали у Microsoft. Они также взяли на вооружение идею создания многочисленных версий одного и того же ПО, отличающихся ценой и функциональными возможностями.

Например, за 500 долларов сверх базовой цены клиенты могут приобрести опциональный модуль, позволяющий им получать украденную информацию в режиме реального времени через клиент протокола мгновенных сообщений Jabber. Еще за две тысячи можно купить модуль, собирающий информацию из полей ввода данных авторизации в Firefox, а еще за 10 000 долларов покупатели получают модуль, позволяющий осуществлять полноценное удаленное управление инфицированными компьютерами через VNC. Столь высокая цена объясняется тем, что VNC помогает обходить некоторые из наиболее продвинутых средств аппаратной аутентификации, в том числе – аутентификацию с помощью смарт-карт.

По состоянию на данный момент наиболее свежим вариантом ZeuS является версия 1.3.3.7, однако работа над версией 1.4 также кипит вовсю – в настоящее время она находится в стадии бета-тестирования. Основное нововведение – полиморфное шифрование, позволяющее трояну перепаковывать себя каждый раз, когда он заражает компьютер жертвы, создавая таким образом уникальный цифровой отпечаток. В итоге антивирусные программы, которые и без того испытывают затруднения с обнаружением троянов семейства ZeuS, будут еще хуже идентифицировать данную угрозу.


Бот полностью основан на перехвате WinAPI в UserMode (Ring3), это значит, что бот не использует
каких-либо драйверов и обращений в Ring0. Эта особенность дает возможность запускаться боту даже из
Гостевых учетных записей Windows. Плюс это гарантирует повышенную стабильность, и адаптивность
к последующим версиям Windows.

Версии

a.b.c.d
a — полное изменение в устройстве бота.
b — крупные изменения, которые вызывают полную или частичную несовместимость с предыдущими версиями.
c — исправления ошибок, доработки, добавление возможностей.
d — номер чистки от антивирусов для текущей версии a.b.c.

для примера актуальная версия на данный момент 1.3.3.х

История версий
Условные метки:[*] — изменение.
[-] — исправление.
[+] — добавление.

[Версия 1.2.0.0, 20.12.2008]
Общее:[*] Более не будет документации в chm-файле, все будет писаться в этот файл.
[+] Теперь бот способен получать команды не только при отправки статуса, но и при отправки
файлов/логов.
[+] Локальные данные, запросы к серверу, и файл конфигурации шифруются RC4 с ключом на
ваш выбор.[*] Полностью обновлен протокол бот <-> сервер. Возможно, понизится нагрузка на сервер.

Бот:
[-] Устранена ошибка, блокирующая бота на лимитированных ученых записях Windows.[*] Написан новый PE-криптор, теперь PE-файл получается очень аккуратным и максимально
имитирует результат работы MS Linker 9.0.[*] Обновлен процесс сборки бота в билдере.[*] Оптимизировано сжатие файла конфигурации.[*] Новый формат бинарного файла конфигурации.[*] Переписан процесс сборки бинарного файла конфигурации.[*] Socks и LC теперь работают на одном порту.

Панель управления:[*] Статус панели управления переведен в BETA.[*] Изменены все таблицы MySQL.[*] Начет постепенный перевод Панели Управления на UTF-8 (возможны временные проблемы с
отображением символов).[*] Обновлена геобаза.

[Версия 1.2.1.0, 30.12.2008]
Бот:[*] BOFA Answers теперь отсылается как BLT_GRABBED_HTTP (было BLT_http_REQUEST).
[-] Мелкая ошибка при отправке отчетов.
[-] Размер отчета не мог превышать ~550 символов.
[-] Ошибка существующая с начала существования бота: низкий таймаут для отсылки POST-запросов,
в результате чего блокировалась отсылка длинных (более ~1 Мб) отчетов на медленных
соединениях (не стабильных), как теоретическое последствие — бот вообще переставал слать
отчеты.

Общее:
[+] В случаи записи отчета типа BLT_HTTP_REQUEST и BLT_http_REQUEST в поле SBCID_PATH_SOURCE
(в таблице будет path_source) добавляется путь URL.

Панель управления:[*] Обновлен redir.php.

[Версия 1.2.2.0, 11.03.2009]
Бот:
[-] Устранена ошибка в HTTP-инжектах существующая на протяжении ВСЕХ версий бота. При
использовании в программе асинхронного режима wininet.dll, был упущен момент
синхронизации потоков создаваемых wininet.dll, в результате чего, при некоторых условиях
происходило исключение.
[+] При срабатывании HTTP-инжекта, теперь также изменяются файлы в локальном кэше.
Отсутствие этой доработки, позволяло не всегда срабатывать HTTP-инжектам.
[+] Уменьшен размер PE-файла.

[Версия 1.2.3.0, 28.03.2009]
Бот:
[-] Мелкие ошибки в крипторе, спасибо доблестным говноаналитикам из Avira.

Общее:[*] Изменен протокол раздачи команд ботам.

Панель управления:[*] Полностью переписана панель управления.[*] Дизайн переписан на XHTML 1.0 Strict (под IE не работает).[*] Бот теперь опять способен получать команды только при отправке отчета об онлайн-статусе
(слишком высокая нагрузка).[*] Обновлена геобаза.

[Версия 1.2.4.0, 02.04.2009]
Бот:
[+] При работе с HTTP, заголовок User-Agent теперь читается от Internet Explorer, а не
является константой как раньше. Теоретически из-за постоянного User-Agent'а, запросы
могли блокироваться провайдерами, или попадать под подозрение.

Панель управления:
[-] Исправлена ошибка отображения отчетов, содержащих символы 0-31 и 127-159.

[Версия 1.2.5.0, 27.05.2009]
Бот:
[+] Незначительная оптимизация кода.

Панель управления:
[-] Устранена уязвимость в gate.php, позволяющая записывать файлы в родительские директории.
[+] Добавлены запрещенные расширения в массив $bad_exts.
[+] В модуле botnet_bots, при изменение фильтра сохраняется текущая сортировка.

[Версия 1.2.6.0, 04.06.2009]
Бот:
[+] Перехват библиотеки nspr4.dll.

[Версия 1.2.7.0, 22.06.2009]
Общее:
[+] В отчеты добавляется имя пользователя, которому принадлежит процесс.

Бот:
[+] Отключение фишинг-фильтра в IE7, IE8.


[Версия 1.2.8.0, 05.10.2009]
Bot:
[+] С добавлением функции TCP_NODELAY, увеличена скорость Socks и других встроенных проктоколов. Будет особенно заметно для протоколов использующих маленькие TCP пакеты.

[+] При соединении с сервером через Wininet не добавляется в HTTP-header «Connection: close», где это нужно. Потому что Wininet может создать ненужную нагрузку сервера (вероятней всего).

Панель управления:[*] Обновлена геобаза.

[Версия 1.2.9.0, 10.10.2009]
Bot:
[+] Добавлен граббер паролей для FTP клиентов: FlashFXP, Total Commander, WS_FTP, FileZilla, FAR Manager, WinSCP, FTP Commander, Core FTP, SmartFTP.

[Версия 1.2.10.0, 17.10.2009]
Panel:
[+] Полная интеграция «Jabber notifier».

Версия 1.3.0.0, 22.11.2009]
Бот:[*] Перехват WinAPI методом сплайсинга.
[+] Полноценная работа в Windows Vista/7.[*] Временно отключено скрытие файлов бота.[*] Убран TAN-граббер.
[-] Исправлена ошибка дублирования отчетов в nspr4.dll.[*] Сграбленные сертификаты теперь пишутся с именем grabbed_dd_mm_yyyy.pfx, и паролем в UTF-8.[*] Команда getcerts, получается сертификаты только из MY-хранилища, а не из всех. Т.к.
получение сертификатов из всех хранилищ не имеет смысла.[*] Изменено поведение граббера сертификатов.[*] Переписан FTP/POP3 снифер, улучшено обнаружение логинов, сделана поддержка IPv6-адресов.[*] Переписан перехват ввода клавиатуры, исправлен метод работы с интернациональными символами.
[-] Исправлена ошибка в HTTP-фейках, которая могла привести к deadlock.[*] Изменен способ генерации BotID.

[Версия 1.3.1.0, 29.11.2009]
Бот:
[-] Устранена серьезная ошибка, которая могла возникнуть при работе с файлом конфигурации.

[Версия 1.3.2.0, 11.01.2010]
Бот:
[-] Устранена серьезная ошибка, которая могла привести к deadlock в любом процессе
(актуально только для билдов с поддержкой nspr4.dll).


Комплектация
«Бот» часть:

1. Билдер
2. Конфиг**
3. Инжекты**
4. С версии 1.3.х.х ключ лицензии

Это все позволяет сделать билд бота.

Web часть
1. Админ панель
2. Гейт
3. Требования к веб серверу:
Apache 2.2 и старше или IIS 6.0 и страше
PHP 5.2.6 и старше
MySQL 5.1.30 и старше


Что умеет Zeus:

* Снифер трафика для протокола TCP
Перехват POP3 логинов на любом порту.
Перехват FTP логинов на любом порту.
Перехват любых данных из трафика (под заказ).
* Перехват HTTP/http запросов для wininet.dll, т.е. всех программ работающих с этой
библиотекой. Сюда входят Internet Explorer (любая версия), Maxton, и т.д.
Система инжектов **
* Socks4/4a/5
* Бэкконект для любого сервиса(RDP, Socks, FTP, и.т.д.) на зараженной машине. Вы можете
получить доступ к компьютеру, который находится за NAT, или, например, к которому
запрещены подключения из интернета.
* Получение скриншота экрана в реальном времени.
* «Скармливает» пользователям зараженного ПК страницы фейков
* Поиск и удаление или закачка файлов на удаленный сервер
* Грабит куки и данные сохраненных форм
* Граббер сертификатов и sol
* Может меняться функционал с выходом новых версий (см. ченжлог)
__________________
" Люди забыли эту истину, - сказал Лис, - но ты не забывай: ты навсегда в ответе за всех, кого приручил..."
Антуан де Сент-Экзюпери. Маленький принц
хоть и умный, но ленивый....
D@rkTwin вне форума   Ответить с цитированием Вверх
3 благодарности(ей) от:
Старый 21.03.2010, 16:40   #2
[email protected]
Пернатый пЫнгвЫн
 
Аватар для D@rkTwin
 
Регистрация: 01.07.2007
Адрес: SPb
Сообщений: 6,193
Благодарил(а): 1,694 раз(а)
Поблагодарили: 3,928 раз(а) в 1,480 сообщениях
D@rkTwin отключил(а) отображение уровня репутации
По умолчанию

В продолжение темы.

Для преступников ботнет Зевс (ZeuS) становится все удобнее и удобнее
Да, я знаю что недавно про него было, и скоро будет еще. Но вот что думают буржуины.
Нажать для просмотра

Какой-то ботнет
Краткая справка
  • № 1 в списке самых разыскиваемых ботнетов Америки
  • Зараженные компьютеры: 3.6 миллиона
  • Использование преступниками: воровство вводимой пользователем информации (кейлоггер), вставка поддельных HTML форм в системы онлайн-банкинга
За 10 000 $ можно приобрести модуль Зевса, дающий полный контроль над зараженными компьютерами

Новые возможности усиливают ботнет ЗевС, используемый преступниками для воровства финансовой информации и переводов денег в онлайн-банкинге, расчетных палатах и системах начисления заработной платы. Стоимость его последней версии начинается с 3000 $, также можно купить позволяющую полностью контролировать зараженные компьютеры версию за 10 000 $.

Список 10 самых разыскиваемых ботнетов Америки.

Автор и владелец предположительно один человек и (также предположительно) находящийся сейчас в восточной Европе, продолжает постоянную работу над ботнетом. Так, Зевс версии 1.3.4.х получил встроенную функцию удаленного контроля над ботнетом. Причем взломщик может «получить полный контроль над зараженным компьютером», говорит Дон Джексон, начальник отдела обнаружения угроз копании SecureWorks, выпустивший подробный отчет о Зевсе на этой неделе.

Новая опция Зевса (взятая из старого свободного проекта AT&T Bell Labs «Virtual Network Computing») и позволяющая удаленно контролировать компьютеры работает аналогично программам наподобие GoToMyPC, говорит Джексон. Secure Works называют опцию «полным присутствием». Она настолько полезна преступникам, что стоит 10 000 $.

Троян Зевс поражает компьютеры с установленной ОС Windows и имеет размер около 50 000 байт. Он ворует с компьютера пользователя учетные записи банковских систем северной Америки и Великобритании. Преступление можно совершить с другого континента, переводя средства на другие счета с помощью искусно сделанной системы управления.

Появившийся в 2007 (а возможно и ранее) Зевс «удачно продвигаемая шпионская программа-троян» увеличил свою популярность с распространением ботнетов.

Изначально над написанием Зевса работала группа UpLevel. Однако сегодняшние исследователи считают, что у Зевса всего один автор, который в настоящее время прилагает усилия по полному контролю над Зевсом (версий 1.3 и более поздних). Так, он внедрил механизм защиты от копирования, привязывающий каждую копию клиента ботнета к соответствующему компьютеру.

Исследователь Кевин Стевенс из SecureWorks указывает на схожесть механизма защиты от копирования Зевса с WinLicense (оба используют метод аппаратных маркеров). Механизм учитывает информацию об аппаратном обеспечении компьютера перед открытием доступа к коду инструментария ZeuS Builder.

Предыдущие версии Зевса доступны бесплатно, но новые (с начала года) стоят совсем немало. По информации SecureWorks в сетевом преступном сообществе мошенники зачастую платят за используемые в совершении преступлений программы через Western Union или Web Money.

В опубликованном на прошлой неделе отчете SecureWorks базовый инструментарий ZeuS Builder стоит от 3 до 4 тысяч долларов, а за модуль «Banckconnect» придется выложить еще полторы тысячи. Модуль позволяет совершать переводы с зараженной машины, т.е. если банки попробует отследить откуда преступником был совершен перевод, то увидят компьютер владельца счета. Есть разграничение и по взламываемым ОС — за возможность взламывать компьютеры с Windows 7 или Vista преступникам нужно заплатить еще 2 тысячи долларов, в противном случае они смогут взламывать только компьютеры с Windows XP.

Перечислим еще несколько доступных опций. «Firefox form grabber» (2000 $) посылает преступнику информацию из форм ввода, которые пользователь заполняет в Файерфоксе. «Jabber (IM) chat notifier» (500 $) оповещает взломщика о получении украденных данных, теперь если успеть, то можно получить доступ к счету жертвы, используя банковский токен для случайной генерации чисел. VNC модуль, позволяющий обойти смарт-карты, необходимые для крупных переводов (10 000 $).

Последняя версия Зевса умеет обходить большинство двухфакторных и других защит банковских систем и ориентирована на проведение крупных переводов, от 100 000 $, отмечает Джексон.

Появляется множество историй о жалобах компаний на неавторизованные переводы или мошеннически внесенных несуществующих работников в систему заработной платы. В таких случаях банки не могут откатить достаточно крупные переводы.

Итак, последняя версия Зевса обходит большинство продвинутых механизмов защиты онлайн-аутентификации используемых банками, возможно за исключением ручной системы одобрения транзакций, в которой одобрить перевод должны по крайней мере двое случайно выбранных из списка специально обученных людей. «Это гонка вооружений», — Джексон.

В выходящей вскоре версии Зевса 1.4 (которая пока в бета-тесте) количество опций увеличиться. Например, опция «Web Injects for Firefox» позволит взломщику в любое время показать в Firefox поддельную страницу с банковской формой. Поводом может служить запрос дополнительной информации банком (во время перевода).

Для предотвращения своего обнаружения и затруднения идентификации антивирусами Зевс использует полиморфное шифрование.



Можете оценить, насколько эффективно это самое полиморфное шифрование
__________________
" Люди забыли эту истину, - сказал Лис, - но ты не забывай: ты навсегда в ответе за всех, кого приручил..."
Антуан де Сент-Экзюпери. Маленький принц
хоть и умный, но ленивый....
D@rkTwin вне форума   Ответить с цитированием Вверх
Благодарность от:
Ответ

Социальные закладки

Метки
zeus, инструментарий, хакерский

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Хакерский тест zemljanin Тестирование 1 25.09.2010 21:55


Lo-Fi Version Текущее время: 17:26. Часовой пояс GMT +3.
Powered by vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot. Сайт имеет возрастное ограничение 16+
Весь материал, представленный на сайте madbadjack.com взят из открытых источников или опубликован посетителями форума. Материал используется исключительно в некоммерческих (ознакомительных) целях. Все права на публикуемые аудио, видео, графические и текстовые материалы принадлежат их владельцам. Запрещено любое использование материалов сайта без письменного разрешения авторов материала. Если Вы являетесь АВТОРОМ материала или ОБЛАДАТЕЛЕМ АВТОРСКИХ ПРАВ на него и против его использования на нашем сайте пожалуйста свяжитесь с нами.