8:26
28/9/2010

Przejmowanie botnetu Zeusa

Okazuje się, że jeden z popularniejszych botnetów posiada lukę w swoim serwerze zarządzającym (tzw. C&C — Command & Control). Dzięki niej nie trzeba zdobywać swoich zombie, można łatwo przejąć już istniejący botnet.

Jak przejąć botnet Zeus?

Billy Rios, były pracownik Microsoftu i odkrywca błędu twierdzi, że do skutecznego przejęcia botnetu wystarczy napisany przez niego skrypt oraz klucz wyciągnięty z pamięci zainfekowanego Zeusem komputera.

Zeus (PHP)

Zeus (PHP)

Atak pozwala na przemycenie na serwer Zeusa wykonywalnego skryptu. Na atak podatna jest wersja botnetu Zeus 1.3.2.1 i wcześniejsze. Co ciekawe, Rios podążył za prawidłami responsible-disclosure i próbował najpierw zgłosić błąd do twórców botnetu, jednak ci zamiast odpowiedzi, odesłali mu spam ;)

Rios snuje przypuszczenia, że błąd może być celowym backdoorem stworzonym przez twórców Zeusa…

I co z tym zrobimy?

Bug w oprogramowaniu do zarządzania botnetem mógłby zostać wykorzystany przez policję wyłączania botnetów, jednak w wielu krajach igranie z komputerami użytkowników bez ich zgody (nawet w dobrej wierze) jest przestępstwem. Z tego powodu z dziury w C&C Zeusa skorzystają raczej cyberprzestępcy, którzy za jej pomocą niskim kosztem będą przejmowali konkurencyjne botnety, poszerzając swój arsenał.

Sezon polowania na boty uważam za rozpoczęty! :-)

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. No to nie można użyć tego skryptu by zniszczyć główne serwery Botnetu?

  2. Apropos przestępstwa w wyniku ingerowania w komputery innych w dobrej wirze, kiedyś po sieci krążył wirus który odpalał aktualizacje Windowsa i je wszystkie instalował po czym sam znikał z komputera “ofiary”. Przydał by się taki “wirus” co by IE6 uśmiercił tzn. Zainstalował IE8 i z nikł z systemu. O ile lepiej żyło by się ludziom (i programistom) w świecie bez religii… tzn. bez IE6.

  3. @MrMgr
    milion razy w wielu miejscach przewija się informacja, że IE6 to nie tylko głupi ludzie którzy nie umieją zaktualizować komputera.

    Jeżeli uważasz to, że zmusisz moją firmę do wydania setek tyś złotych na dostosowanie systemu obsługi zamówień do IE8, albo mnie do biegania i cofania aktualizacji za “w dobrej wierze” to trochę się różnimy w poglądach.

  4. @MrMgr
    Już widzę radość informatyków w korporacjach, gdzie używają oprogramowania IE6 only ;)

  5. Osobiście stwierdzę, że w dużych korporacjach (np tu gdzie ja pracuję) aktualizacja IE6 jest:
    1. Zbyt kosztowna, o czym już wspominano
    2. Nieekonomiczna – strony rozrywkowe przestają wspierać IE6 a co za tym idzie – mówimy papa youtube itp. Strony dużych firm i korporacji i wszystkich ważnych kontrachentów pozostają zgodne, bo kto chciałby tracić klientów?

    Pozostaje czekać aż głowy firm przestaną mieć dostęp do swoich ulubunych serwisów, wtedy przyjdzie pora na aktualizację.

  6. Ciekawe, ile wspólnego z rzeczywistością mają te “setki tysięcy złotych/dolców/eurosów wydane na dostosowywanie” ;]

  7. @wojtekm, @kostuch
    nic tylko pogratulować polityki bezpieczeństwa firmom, które pozwalają użytkownikom korzystać z Internetu za pośrednictwem IE6 ( właśnie takich użytkowników “kochają” wspomniani przez MrMgr programiści)

  8. dopisuje sie do gratulacji
    szczerze od serca – jakbym byl na waszym miejscu i mial cos takiego w firmie to bym nie odwazyl sie odezwac na takim portalu jak Nibezpiecznik – dlaczego ? – nie chce mi sie gadac, zreszta duzo tego w necie odnosnie IE6,zycze milej lektury “informatykom”

  9. Scenariusz mass-takedown’a moze byc taki:
    1. Lista serwerow CnC Zeusa jest na zeustrackerze, wystarczy odsiac wersje niepodatne na atak
    2. Dekryptor do zeusowego configa mozna znalezc tutaj
    http://blog.threatexpert.com/2010/05/config-decryptor-for-zeus-20.html
    co pozwala na automatyzacje w pewnym stopniu, po drobnej modyfikacji podejrzewam ze klucz do RC4 tez mozna wyciagnac
    3. Offshore shell hosting i mozemy injectowac do woli :)
    Rowniez uwazam ze ten blad jest zostawiony celowo, przynajmniej w wersji public Zeusa, ktora juz chula od dlugiego czasu na necie.

  10. Mam małe pytanie dlaczego ten artykuł jest poniżej wcześniejszego artykułu o poczcie pneumatycznej ?

  11. Goscie z 4chana powinni sie tym zajac…

  12. heh pracodawcy nie odczuja problemow z IE6 – czemu? bo oni siedza na super wypasionych laptopach z najnowszym oprogramowaniem… wiem ze tak jest w conajmniej dwoch instytucjach “publicznych”, gdzie te laptopy sa uzywane oczywiscie do gran^Wpowaznej pracy….

  13. O ile dobrze pamiętam Icewall na secday 2009 mówił o błędzie w C&C Zeusa pozwalającym na przejęcie kontroli nad serwerem. Ciekawe czy to ta sama luka.

    Pozdrawiam

  14. @maryush
    bingo.

    dobrze ze ja swoich klientow przekonalem juz 4 lata temu, wtedy przewidywalem takie efekty, dzis nikt z klientow nie zaluje, sa zadowoleni z uslug i z aplikacjach.
    z kosztami byla niespodzanka, wiecej by kosztowalo teraz upgradowac wielkim krokiem niz np upgrady kilku krokowe o priorytetu “bardzo wysiokie” np co kwartal,
    reszta jest wykonana co koniec miesaca po testach.

    @wojtekm, @kostuch
    ile takie podejscie jak wasze, nas developer’om kosztowalo czasu…

  15. AD ie6
    Jak ostatnio robiłem stronę to testowałem tylko na najnowszych(ie,ff,o,chrome,iceweasel), a reszta dostawała pasek(jak ten który w ie informuje o tym, że czegoś brakuje), że dostępna jest aktualizacja bez której strona może nie działać poprawnie.
    Oczywiście wszytko za zgodą firmy zamawiającej.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: