Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 1 de junio de 2009

Botnet. Securización en la nueva versión de ZeuS

Hace pocos días, una nueva versión de ZeuS (también conocido como Zbot, Wsnpoem, Ntos o Prg) se encuentra dando vueltas por la gran nube. Esta nueva versión incorpora una serie de funcionalidades de las cuales se destaca la posibilidad de propagar la amenaza explotando uno de los vectores de infección más utilizados como lo es el correo electrónico.

Sin embargo, quizás la novedad más interesante radica en asegurar su estructura a través de la incorporación de una nueva capa de seguridad implementada durante el proceso de autenticación a su panel de administración y control.

El proceso de autenticación en versiones anteriores, se encuentra compuesto por tres campos: el de nombre de usuario, el de password y otro que establece el idioma con el cual se visualizará el crimeware, ofreciendo dos posibilidades: inglés y ruso (este último, la lengua natal del creador del paquete).

La nueva versión, no sólo posee las opciones de autenticación antes mencionadas sino que incorpora un nuevo campo que ofrece mayor seguridad contra el intento de "cracking de contraseña".

La incorporación de este nuevo cambio no es el único. También se ha optimizado el código de ZeuS y modificado levemente la visualización de sus diferentes módulos, quedando la estructura de configuración de la siguiente manera:
  • /install > carpeta donde se aloja el instalador
  • /system > carpeta que aloja el sistema de archivos
  • /theme > el diseño con el que se visualizará ZeuS
  • cp.php > panel de control
  • gate.php > backdoreo de la bot
  • index.php > previene el listado de archivos
  • /system/config.php > archivo de configuración
  • /system/fsarc.php > script que llama a un archivo externo
La apariencia de las versiones anteriores del panel de instalación, como se ve en la captura, presenta cinco secciones: Root login, MySQL server, MySQL tables, Local paths y Options.

La nueva versión, optimizada, presenta cuatro secciones: Root user (datos de autenticación, equivalente a Root login), MySQL server (información de acceso a la base de datos), Local folders (archivo de registro sobre las acciones de ZeuS) y Options (donde se incorpora por defecto la opción de cifrado).

Otra de las cosas "interesantes" que incorpora esta versión del paquete, es un módulo que permite agregar scripts.

Esto supone un campo de acción mucho más amplio, ya que es posible agregar la cantidad y variedad de script que el botmaster desee.

Como podemos apreciar, el crimeware sigue evolucionando a través de aplicativos maliciosos, y ZeuS es una prueba fiel donde el “profesionalismo” de los ciberdelincuentes dedicados a mantener el negocio oscuro que representa el malware sigue escalando posiciones dentro del mercado delictivo.

Información relacionada
ZeuS Carding World Template. Jugando a cambiar la cara de la botnet
Entidades financieras en la mira de la botnet Zeus. Segunda parte
Entidades financieras en la mira de la botnet Zeus. Primera parte
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Zeus Botnet. Masiva propagación de su troyano. Primera parte
LuckySploit, la mano derecha de Zeus

# pistus

2 comentarios:

wHiz0un dijo...

Hola Jorge.

Esta versión todavía no la he encontrado, pero he visto una bastante diferente, a la que estoy deseando echar el guante.No sé si tú ya habrás tenido acceso a ella.

Un ejemplo: https://zeustracker.abuse.ch/monitor.php?host=labormi.com

¿Te suena?

Saludos.

(whizoun at gmail . com)

Jorge Mieres dijo...

Hola wHiz0un, aparentemente ya dieron de baja el dominio :(

¿Cuál es la versión que viste?
¿Qué encontraste de diferente?

Saludos.

Publicar un comentario en la entrada