mboost-dp1

remora.ca

Ny variant af ZeuS-botnettet klarer sig uden centrale servere

- Via Symantec - , redigeret af Pernicious

Sikkerhedsfirmaet Symantec fortæller, at en modificeret udgave af botnet-trojaneren ZeuS er begyndt at blive spredt. Den nye udgave er lavet sådan, at den ikke længere afhænger af command & control-servere (C&C), for at kunne modtage instruktioner.

I stedet benytter ZeuS nu en P2P-teknik, hvilket betyder, at alle inficerede computere kan fungere som C&C-server, og at der altså ikke længere benyttes centrale servere, som politiet kan nedlægge for at stoppe botnettet.

Den nye ZeuS-variant kan sende både kommandoer, konfigurationsfiler og eksekverbare programmer til andre inficerede computere.

Selvom Symantec endnu ikke er sikre på, hvordan stjålne data overføres til ZeuS’ bagmænd uden C&C-servere, gætter de på, at dataene flyttes rundt mellem inficerede computere, indtil de når specifikke computere, som bagmændene styrer.





Gå til bund
Gravatar #1 - OxxY
26. feb. 2012 12:16
Erm, hvis de inficerede pc'er kan eksekvere kode etc så kan de skoda bare uploade en krypteret fil til rapidshare, dropbox, whatever. Hvorfor flytte ting rundt på må og få ....
Gravatar #2 - Nicolai
26. feb. 2012 12:41
#1 Fordi hvis de uploader til Rapidshare/whatever, så virker RS som en dropzone (som kan "lukkes" (man kan slette dataerne) / bruges til at spore hvem som har downloaded data'erne).

----

Jeg er ret sikker på at dette ikke er første gang at en ZeuS bot er set med P2P styring, så hvad er helt præcist "nyheden" i denne nyhed?
Gravatar #3 - LordMike
26. feb. 2012 12:45
#2 .. Damn. Skulle til at skrive at det er for stabilitetsårsager og for at fjerne dependencies.

Men skulle bruge 5-10 minutter på at får MyOpenId til at virke igen ... -.-
Gravatar #4 - mireigi
26. feb. 2012 14:20
Så ZeuS botnettet fungerer uden C&C? Er man så sikret, hvis man kun har Red Alert installeret?
Gravatar #5 - Törleif Val Viking
26. feb. 2012 14:31
Hvis de kan eksekvere koder kan man så ikke indsætte en syg fil der skader botnettet?
Gravatar #6 - Bean
26. feb. 2012 14:36
Hvorfor er det banebrydende at de har en slags broadcast-spredefunktion? Er det ikke den mest effektive måde at gøre det på, netop fordi man undgår single-point-of-failure?
Gravatar #7 - Virtual-Aidz
26. feb. 2012 14:48
Bean (6) skrev:
Hvorfor er det banebrydende at de har en slags broadcast-spredefunktion? Er det ikke den mest effektive måde at gøre det på, netop fordi man undgår single-point-of-failure?


Det er banebrydende fordi de ikke har gjort det før evt?

Teknologien er set før.

Men de store botnets har ikke brugt det.
Gravatar #8 - ty
26. feb. 2012 14:48
Törleif Val Viking (5) skrev:
Hvis de kan eksekvere koder kan man så ikke indsætte en syg fil der skader botnettet?


Ikke hvis bagmændene har tænkt sig om
Gravatar #9 - Bean
26. feb. 2012 14:53
Virtual-Aidz (7) skrev:
Det er banebrydende fordi de ikke har gjort det før evt?

Teknologien er set før.

Men de store botnets har ikke brugt det.


Det er da lige præcis det jeg mener. En af de første teknikker man lærer som programmør er rekursivitet, med andre ord, hvis man vil tælle antal elementer i et træ (ikke sådan et der vokser i jorden) af meget stor størrelse kan man med fordel gøre det rekursivt.

Hvorfor så ikke sprede beskeder på samme måde? Jeg troede bare det var noget folk gjorde som standard over alt. :P


Måske er det bare mig der er awesome.
Gravatar #10 - marc
26. feb. 2012 15:57
SOPA is a fact.



Cyberwar as well.....
Gravatar #11 - ISCS
26. feb. 2012 16:08
Bean (6) skrev:
Hvorfor er det banebrydende at de har en slags broadcast-spredefunktion?


Som der står i kilden har botnets længe brugt UDP, til at koble zombierne sammen. Altså fundet hinanden vha. broadcasts.

Det er serveren der tidligere har været central, den er nu decentraliseret.

Kan ikke se at det nødvendigvis er baseret på rekursion.
Gravatar #12 - XxXxX
26. feb. 2012 16:32
Men hvis enhver computer nu er en C&C server så har de da lige åbnet op for at diverse antivirus firmaer kan sende kommandoer om at lukke ned eller lign....

Derudover burde man seriøst indføre verdensomspændende dødsstraf til dem som lader sådan noget lort her.

Måske Mr L44t hacker skoleknægt ville tænke sig lidt om hvis han risikerede at blive sådan ca et hoved lavere.

XxXxX
Gravatar #13 - ty
26. feb. 2012 16:34
XxXxX (12) skrev:
Men hvis enhver computer nu er en C&C server så har de da lige åbnet op for at diverse antivirus firmaer kan sende kommandoer om at lukke ned eller lign...


Det har de nok tænkt på. Så alle kommandoer er nok pakket ind...
Gravatar #14 - Hekatombe
26. feb. 2012 16:40
ISCS (11) skrev:
Som der står i kilden har botnets længe brugt UDP, til at koble zombierne sammen. Altså fundet hinanden vha. broadcasts.


Jeg tvivler på at de finder hinnanden via broadcast for så vil de inficerende computer ikke kunne finde hinanden uden for et lokalt netværk.

XxXxX (12) skrev:
Men hvis enhver computer nu er en C&C server så har de da lige åbnet op for at diverse antivirus firmaer kan sende kommandoer om at lukke ned eller lign....


Som ty tidligere har sagt: "Ikke hvis bagmændene har tænkt sig om"

Prøv f.eks. at slå "Digital signature" op.
Gravatar #15 - ISCS
26. feb. 2012 18:24
Hekatombe (14) skrev:
ISCS (11) skrev:
Som der står i kilden har botnets længe brugt UDP, til at koble zombierne sammen. Altså fundet hinanden vha. broadcasts.


Jeg tvivler på at de finder hinnanden via broadcast for så vil de inficerende computer ikke kunne finde hinanden uden for et lokalt netværk.


Jeg ved ikke hvordan de krydser subnets, (DHCP?) men:

http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye skrev:
Here's how it works: When run, the bot injects itself into the “explorer.exe” process, and tries to contact all the IP addresses one-by-one using UDP. This communication protocol is not complex. It can exchange several data packets with specific codes and meanings and, to identify the communications, have the peers use SHA-1 codes to keep track of the data.
Gravatar #16 - Hekatombe
26. feb. 2012 18:38
#15 "[...] tries to contact all the IP addresses one-by-one [...]".

Det lyder ikke som broadcast, da man sender dataen til alle på én gang (på det lokale netværk). Det lyder deri mod som laver en IP scanning/sweep dvs at den prøver sig frem med en masse IP adresser.
Gravatar #17 - Lars Rasmussen
26. feb. 2012 19:28
Det lyder mere som et multicast, som man kender det fra andre distribuerede systemer. Og altså ikke det man kender som et decideret UDP Broadcast.
Gravatar #18 - mollerz
26. feb. 2012 21:01
XxXxX (12) skrev:
Derudover burde man seriøst indføre verdensomspændende dødsstraf til dem som lader sådan noget lort her.

Måske Mr L44t hacker skoleknægt ville tænke sig lidt om hvis han risikerede at blive sådan ca et hoved lavere.

XxXxX

For vi har jo set hvordan dødsstraf løser alle kriminalitetsproblemer i udlandet. Kina, USA og andre lande der anvender dødsstraf har jo en kriminalitetsrate på 0% - takket være dødsstraf..

Gravatar #19 - XxXxX
26. feb. 2012 21:08
#18

Med dødsstraf kan jeg garantere en tilbagefaldsprocent på 0 ...

XxXxX
Gravatar #20 - vulpus
26. feb. 2012 21:15
#19 Og du har selv mistet hovedet, hvordan?
Gravatar #21 - Zeales
26. feb. 2012 21:17
Lav en ny tråd i off topic hvis I vil snakke dødstraf.

On topic: Intet af dette er nyt, der har længe været P2P trojaner som har brugt DHT. Det eneste er at det er en 'mainstream' trojan der bliver brugt denne gang.
Gravatar #22 - TommyB
27. feb. 2012 07:42
Så mangler den bare at kunne streame samtaler, så er der en Skype konkurrent :)
Gravatar #23 - lorric
27. feb. 2012 15:11
#22 chatwithastranger.trojan :-)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login