Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 24 de octubre de 2009

ZeuS Botnet y su poder de reclutamiento zombi

Como lo he comentado en varias oportunidades, ZeuS es una de las botnets más "mediáticas" (por ende una de las más conocidas y populares), más agresivas y la que posee mayor actividad delictiva con funciones avanzadas que permiten realizar ataques de phishing, monitorear las zombis en tiempo real y recolectar toda esa información a través de diferentes protocolos.

Estas actividades agresivas que fundamentalmente proponen metodologías para obtener información confidencial de las computadoras comprometidas por alguna de las variantes que forman parte de la familia ZeuS, cuentan actualmente con un amplio repertorio de páginas falsas de entidades bancarias y financieras destinadas exclusivamente a la recolección de información mediante phishing.

Asimismo, la posibilidad de contar con un módulo de monitoreo por el cual el botmaster puede estar visualizando en tiempo real absolutamente todo lo que se realiza en la PC zombi (navegación por servicios de webmail, transacciones bancarias, conversaciones por chat, etc.), supone un grave peligro que atenta directamente contra la confidencialidad.

Y aunque para muchos parezca una cuestión trivial, el solo hecho de saber que su desarrollador actualiza cada versión de ZeuS, desde el año 2007, aproximadamente una vez por mes, es un punto relevante que marca el por qué de su popularidad en el ambiente under.

Pero sin embargo, a pesar de todo esto, aún hoy parece que no se valoran en su justa medida las implicancias de seguridad que tienen implícitas las actividades, no sólo de ZeuS sino de cualquiera de las alternativas crimeware que día a día bombardean Internet con sus acciones delictivas.

Quizás, lo que a continuación les voy a mostrar sea un aspecto fundamental para comprender el verdadero alcance delictivo que tienen este tipo de actividades. Se trata de una botnet ZeuS con un corto periodo de vida, pero con un importante volumen de zombis reclutados que se aglomeran en su cuartel bajo la tutela del "negociante" esperando sus órdenes.

La siguiente captura muestra los zombis reclutados sólo en Rusia, en este caso, por el botmaster que inició sesión bajo el nombre "russian". Esta información se obtiene a través de la opción de filtrado, limitando la búsqueda con el acrónimo del país (RU).

Ahora… una de las preguntas que quizás muchas veces nos hacemos al hablar de botnets es ¿cuál es la capacidad de reclutamiento que poseen? y aunque la respuesta es relativa podríamos decir que no tiene límites, o que el límite estará dado en función de la capacidad de los servidores utilizados por los botmasters.

Pero, siguiendo el ejemplo anterior, podemos tener una idea lo suficientemente concreta sobre el poder de reclutamiento que posee, en este caso, el botmaster "russian".

Con una actividad de tres (3) meses, cuenta con una cantidad de 24.830 zombis. Algo así como casi 276 infecciones de ZeuS por día. Y si seguimos la lógica, estadísticamente hablado, la cantidad se podría cuadruplicar a lo largo del año.

Por otro lado, la posibilidad de administrar una botnet vía web, supone también que pueden ser administradas varias al mismo tiempo; es decir, que varios botmasters pueden utilizar la misma aplicación web (en este caso ZeuS) para controlar "sus" zombis. De esta manera, el usuario "russian" posee una actividad relevante. Pero también podemos obtener información de sus pares que se encuentran administrando zombis bajo el mismo dominio.

Por ejemplo, el usuario "system" posee 10.184 zombis pero reclutadas durante un periodo de 30 días. Aproximadamente 335 zombis por día. Todo, a través de una sola botnet ZeuS ¿se imaginan cuantas ZeuS como estas se encuentran In-the-Wild?

Mientras que el botmaster con menos actividad cuenta con tan sólo 34 zombis, pero en menos de 1 hora.

En resumen, independientemente del tiempo de actividad de una u otra botnet, la tasa de reclutamiento es muy alta.

Esto significa también que los mecanismos de prevención no son lo suficientemente efectivos, y de hecho un reciente estudio deja en evidencia que los mecanismos evasivos que incorpora ZeuS son lo suficientemente efectivos frente a los mecanismos de detección de muchas de las soluciones antivirus actuales.

No obstante, bajo un aspecto más riguroso, que el malware actual incorpore mecanismos auto-defensivos cada vez más eficaces no significa que los antivirus no son efectivos. Además, no todo pasa por la solución de seguridad y gran parte de la responsabilidad recae en el usuario ya que, en definitiva y siguiendo con el aspecto riguroso, un sistema no se infecta por sí solo.


Información relacionada

ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

2 comentarios:

Anonymous dijo...

Vaya!,parece que este troyano es la creme de la creme, pero sin duda alguna hay códigos maliciosos muchísimo mas sofisticados que no tienen tanta repercusión mediatica y son capaces de infectar cientos de sistemas silenciosamente mediante el uso de amplias técnicas de ingenieria social como por ejemplo torpig o waledac.Zeus al lado de las grandes botnets es solo un juguete para script kiddies.

Espero que sigas posteando contenido de calidad como siempre haces!

Saludos!!

Jorge Mieres dijo...

Hola, coincido completamente con respecto a que hay códigos maliciosos más sofisticados y que precisamente por esa característica no tienen margen mediático :). De hecho, un ejemplo concreto es Conficker, ya que hay gusanos más destructivos que no gozan de la popularidad de estos otros.

Sobre ZeuS puntualmente, yo creo que quienes se encuentran detrás de su desarrollo son profesionales que ganan mucho dinero con esto, y coincido en que en la actualidad ZeuS es un "juguete" muy empleado por script kiddies o aspirantes prematuros a delincuentes :) y quizás esta condición guarde íntima relación con la facilidad de obtener ciertas versiones de este crimeware de forma gratuita y sin demasiados esfuerzos ;P

Pero sí, hay botnets con un nivel de procesamiento de zombis mucho más amplio que el mostrado en este ejemplo.

Me alegra saber que la información compartida es de utilidad ;P

Saludos.

Publicar un comentario en la entrada