Die SpyEye Schnittstelle CN 1, Teil 1

Originalartikel von Kevin Stevens (Senior Threat Researcher bei Trend Micro)

SpyEye ist eine Schädlingsfamilie, die Online-Zugangsdaten für Bankkonten stiehlt. Die Malware ist auch als ZeuS-Killer bekannt, denn sie verhindert, dass ihr Konkurrent ZeuS auf den betroffenen Systemen abläuft, denn die Malware will selbst das System übernehmen. Wir berichteten bereits im Februar „Ein neues Botnet betritt die Bühne“ darüber.

Weniger bekannt sind Einzelheiten zu der Schnittstelle, welche die Kriminellen nutzen. Sie besteht aus zwei Komponenten: Zum einen ist da die Frontend-Schnittstelle CN 1 oder “Main Access Panel”. Von hier aus kann der Bot Master mit den Bots interagieren. Sie zeigt Statistiken bezüglich der infizierten Maschinen.

Die zweite Komponente, SYN 1 oder “Formgrabber Access Panel” fungiert eher als Backend und sammelt und loggt Daten. Darüber hinaus erlaubt sie dem Bot Master, Abfragen zu den gesammelten Daten zu stellen und die gestohlenen Informationen über die Schnittstelle anzusehen.

Dieser erste Teil beschäftigt sich mit der ersten Komponente.

Der Screenshot zeigt das “Hack the Planet!”-Logo, das anzeigt, wie viele Bots gerade online sind und aus wie vielen Teilen das Botnet derzeit besteht: Es sind im Bild 2.392 Bots online zu sehen, insgesamt sind es etwas mehr als 18.000. Auf der linken Seite wird außerdem das Datum sowie Uhrzeit des Servers angezeigt.

Der erste Button oben links, “Create task for billing”, erlaubt zusammen mit dem so genannten Billinghammer-Plug-in die Kreditkarten, die von bestimmten Sites gesammelt wurden, zu belasten. Auf diese Weise kann ein Bot Master direkten finanziellen Nutzen aus den gestohlenen Daten ziehen, ohne ein zu hohes Risiko etwa durch den möglichen Einkauf bei Amazon einzugehen.

Über den Bots Monitoring Button wiederum lässt sich checken, wie viele Bots in jedem Land infiziert wurden. Zudem enthält die Liste Details wie Anzahl der Bots mit einer bestimmten Version von SpyEye oder Anzahl der täglich hinzu gekommenen Bots. Obiger Screenshot zeigt, dass aufgrund eines Fehlers beim Update der geografischen IP-Informationen keine Länder aufgelistet werden. Der Master hinter diesem Bot kann durchschnittlich etwa 1.500 Nutzer täglich infizieren und zu dem eigenen Botnetz hinzufügen.

Dieser Screenshot zeigt das Ergebnis des Full Statistics Button. Die meisten infizierten Maschinen laufen unter Windows XP, aber auch Windows 7 ist dabei. Etwa 80 Prozent der infizierten Nutzer sind mit Administratorenrechten angemeldet.

Der Create Task for Loader Button dient dazu, das Bot anzuweisen, Kontakt zu einer bestimmten Site aufzunehmen, um Clicks für mögliche Einnahmen durch Werbung zu generieren oder weitere Schädlinge herunter zu laden.

Der Update Bot Button spricht für sich selbst. Er wird dazu verwendet, um die Konfigurationsdateien und aktualisierte SpyEye-Binaries für die Bots hochzuladen.

Der Virtest Button schließlich ist einzigartig. Es handelt sich dabei um eine Website in Osteuropa, die es angemeldeten Nutzern ermöglicht, Binärdateien zu scannen und Exploit-Pakete darauf zu testen, ob Antivirus-Engines sie entdecken. Es ist ein bezahlter Service, für den Nutzer pro Scan zahlen. Sobald ein Nutzer seine aktualisierte Binärdatei hochlädt, erscheint der link zu Virtest.

Mit dem Settings Button lassen sich die meisten Einstellungen für alles, was im CN 1 Kontroll-Panel läuft, anzeigen. Unten auf der Seite gibt es einen Bereich für das Virtest-Login. Auch sind Bereiche für FTP-Backconnect und Socks 5 Backconnect vorhanden. Diese erlauben es dem Bot Master Rückverbindungen zum Bot aufzusetzen und verschiedene Aufgaben auszuführen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*