Botnety

W drugim kwartale 2010 większość incydentów związanych ze szkodliwym oprogramowaniem było w ten czy inny sposób związanych w botnetami. Tworzono nowe boty, jak również rozbudowywano już istniejące, na przykład TDSS czy Zbot (ZeuS), o którym będzie mowa w tym artykule.

ZeuS

Warto wspomnieć również o ewolucji trojana ZeuS (Zbot), który jest wykorzystywany do budowy botnetu. Pod koniec kwietnia wykryto nową modyfikację tego szkodnika, która zawiera funkcjonalność wirusa plikowego, co oznacza, że potrafi infekować pliki wykonalne. Przy tym kod i metoda infekcji nie są skomplikowane. Zamiast samego trojana do plików .exe został dodany krótki fragment kodu o długości 512 bajtów, po czym punkt wejścia zainfekowanego pliku został tak zmieniony, aby najpierw został wykonany dodany kod, a dopiero później oryginalna zawartość.

Wstrzyknięty kod miał za zadanie pobierać na zainfekowane komputery nowe wersje trojana, na wypadek gdyby główny komponent ZeuSa został usunięty z zainfekowanej maszyny. Za środowisko testowe dla nowych wersji trojana posłużyły autorom szkodliwego oprogramowania komputery użytkowników w Stanach Zjednoczonych. Jeżeli weźmiemy pod uwagę, jakie dane gromadzi ZeuS, mianowicie dane dostępu do systemów bankowości online – będzie to całkowicie logiczny krok: w Stanach Zjednoczonych bankowość internetowa jest o wiele bardziej rozwinięta niż w innych miejscach na świecie, dlatego komputery amerykańskich użytkowników są prawdziwym kąskiem dla cyberprzestępców. Wersja ZeuSa, którą pobiera na komputer wstrzyknięty fragment kodu, jest wykrywana przez Kaspersky Lab jako Trojan-Spy.Win32.Zbot.gen i została stworzona specjalnie w celu kradzieży kont bankowych klientów dużego banku Bank of America.

Kolejną innowacją jest rozprzestrzenianie ZeuSa za pośrednictwem plików PDF. Niezależna analiza wykazała, że pliki wykonywalne osadzone w dokumentach PDF mogą zostać uruchomione bez wykorzystywania w tym celu luk w zabezpieczeniach. Plik zostanie uruchomiony za pomocą funkcji „Launch” określonej w specyfikacji formatu PDF. Informacje o tym zostały opublikowane 29 marca i już kilka dni później użytkownicy znajdywali w swoich skrzynkach maile ze specjalnie sformatowanym dokumentem PDF, który wykorzystywał opisaną wyżej metodę uruchamiania pliku w celu zainfekowania systemu trojanem ZeuS. Wystarczyło, aby użytkownik otworzył załączony dokument, aby jego komputer stał się częścią botnetu.

TwitterNET Builder

W ostatnim raporcie kwartalnym pisaliśmy o pierwszej próbie cyberprzestępców kontrolowania botnetów za pośrednictwem portali społecznościowych. Wtedy był to jeszcze tzw. proof-of-concept, spodziewaliśmy się jednak dalszego rozwoju wypadków. Nie musieliśmy długo czekać. W maju w Internecie pojawiło się narzędzie do tworzenia botów TwitterNET Builder. Program ten tworzy botnet wykorzystując konto na Twitterze jako centrum kontroli.

Ponieważ nie jest potrzebna żadna wiedza programistyczna, aby korzystać z Buildera, jest on idealną zabawką dla „script-kiddies”: kilka kliknięć i bot gotowy. Kaspersky Lab wykrywa tę "zabawkę" jako Backdoor.Win32.Twitbot. Stworzony przy jego pomocy bot posiada między innymi następujące funkcje: pobieranie i uruchamianie plików, przeprowadzanie ataków DDoS oraz otwieranie wybranych przez cyberprzestępców stron internetowych. W celu otrzymywania poleceń bot szuka na Twitterze odpowiedniego konta wykorzystywanego przez osobę kontrolującą bot do publikowania komend w formie tekstowej.

Na szczęście bot ten nie był szeroko rozpowszechniony, głównie dlatego, że analitycy monitorują takie sztuczki. Botnet kontrolowany w tak prymitywny sposób (polecenia były przesyłane bez szyfrowania za pośrednictwem portali społecznościowych) jest naturalnie łatwy do wykrycia i odłączenia od centrum kontroli – wystarczy tylko usunąć konto cyberprzestępców. Już pod koniec lipca na Twitterze nie zostało żadne centrum kontroli, co świadczy o szybkiej reakcji osób zajmujących się bezpieczeństwem Twittera.