64-Bit ZBOT nutzt Tor und verbesserte Vermeidungstechniken

Originalartikel von Anthony Joe Megareio, Threat Response Engineer

Berichten zufolge zielt der berüchtigte Online-Banking-Schädling ZeuS/ZBOT nun auf 64-Bit-Systeme ab. Eigene Trend Micro-Recherche hat bestätigt, dass einige 32-Bit ZBOT-Muster (TSPY_ZBOT.AAMV) eine eingebettete 64-Bit-Version (TSPY64_ZBOT.AANP) beinhalten. Die Sicherheitsforscher fanden auch weitere interessante Routinen, einschließlich solcher zur Umgehung der Anti-Malware-Lösungen.

Der Screenshot zeigt den extrahierten Code von TSPY_ZBOT.AAMV, der 64-Bit ZBOT enthält:

Bild 1. Screenshot des 32-Bit ZBOT

Die 64-Bit Version ist als Teil des Textabschnitts (ausführbarer Code) der Schadsoftware enthalten.

Bild 2. Screenshot des eingefügten 64-Bit ZBOTs

Wie jede ZBOT-Variante fügt auch TSPY_ZBOT.AAMV seinen Code in den normalen explorer.exe-Prozess ein. Ist dies ein 64-Bit-Prozess, lädt die Schadsoftware die 64-Bit-Variante, wenn nicht, so führt sie die 32-Bit-Version aus.

Eine weitere beachtenswerte Funktionalität dieser ZBOT-Variante ist eine Tor-Komponente, die die Kommunikatiion der Malware mit ihren Command-and-Control-Servern verbergen kann. Die Komponente ist in den letzten Teil des eingefügten Codes eingebettet, zusammen mit den 32-Bit- und 64-Bit-Versionen. Um diese Komponente zu initiieren, unterbricht die Schadsoftware den Prozess svchost.exe und fügt den Code der Tor-Komponente ein. Danach wird der Prozess wieder aufgenommen. Damit maskiert die Malware die Ausführung von Tor. Folgende Parameter werden beim Launch verwendet:

“%System%\svchost.exe” –HiddenServiceDir “%APPDATA%\tor\hidden_service” –HiddenServicePort “1080 127.0.0.1:{random port 1}” –HiddenServicePort “5900 127.0.0.1: {random port 2}”

Sie spezifizieren, wie der Tor-Client laufen soll. In oberem Fall läuft der Tor-Client als versteckter Service und legt den Ort der the private_key– und hostname-Konfiguration fest. TSPY_ZBOT.AAMV berichtet dann an seinen C&C-Server der genannten Konfiguration, die dann an einen entfernten bösartigen Nutzer weitergegeben wird. Der Tor-Client leitet die Netzwerkkommunikation von Port 1080 und 5900 auf zufällig generierte Ports um, auf die der entfernte Nutzer zugreifen kann.

Die Tor-Komponente agiert als Server, den der bösartige entfernte Nutzer dazu verwendet, um auf ein infiziertes System zuzugreifen. Diese ZBOT-Variante enthält Virtual Network Computing (VNC)-Funktionalität, mit deren Hilfe der Nutzer die gewünschten Befehle ausführen kann. Diese Funktionalität bestimmter ZBOT-Varianten gibt es bereits seit 2010.

64-Bit ZBOT verbessert die Tricks zur Vermeidung von Antimalware

ZBOT umfasst auch neue Routinen, wie etwa eine zum Verhindern der Ausführung bestimmter Analysewerkzeuge, unter anderen von OllyDbg, WinHex, StudPE und ProcDump.

Des Weiteren wurde eine User Mode-Rootkit-Funktionalität hinzugefügt, die die Malware-Prozesse sowie die abgelegten Dateien und die Autostart-Registry effektiv versteckt. Die Abbildungen zeigen, wie die Schadsoftware Verzeichnisse erstellt, die mit dem dir-Befehl in CMD gesehen werden, doch beim Browsen mit dem File Explorer unsichtbar sind.

Bild 3. ZBOTs versteckte Verzeichnisse, die in CMD mit dem dir-Befehl sichtbar werden

Bild 4. ZBOT-Dateien, die im File Explorer unsichtbar sind

Nutzer können die TSPY_ZBOT.AAMV Autostart-Registry, die erzeugten Verzeichnisse und Dateien ansehen, indem sie den Safe-Modus starten. Da die Malware nur eine User Mode Rootkit-Funktionalität besitzt, die lediglich die mit der Malware in Zusammenhang stehenden Dateien und Prozesse verstecken, können Nutzer diese im Safe Mode löschen.

Es war zu erwarten, dass eine 64-Bit Version kommen werde, vor allem nachdem der ZeuS-Code 2011 öffentlich wurde. Seither gab es verschiedene Wiederbelebungen der Malware, die berüchtigste in Form von KINS und zusammen mit weiterer Malware wie Cryptolocker and UPATRE. Auch das Hinzufügen weiterer Funktionalität wie die Rootkit- oder die Tor-Komponente zeigt, dass es künftig noch mehr davon geben wird.

Trend Micro-Lösungen erkennt ZBOT-Varianten und blockiert den Zugriff auf bekannte C&C-Sites der Malware. Zusätzliche Informationen liefert das Whitepaper “Deepweb and Cybercrime: It’s Not All About TOR”.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*