Rückblick 2010: Neue und effizientere Wege für den Informationsdiebstahl

Originalartikel von Kevin Stevens und Loucif Kharouni (Senior Threat Researchers bei Trend Micro)

Drei Hauptentwicklungen hat es 2010 bei den “Informationsdieben” gegeben. Die ZeuS/ZBOT-Familie der Software für den Informationsdiebstahl veröffentlichte im ersten Halbjahr eine neue Version. ZeuS 2.0 umfasste wichtige Änderungen an der bereits sehr erfolgreichen Malware-Familie, wenngleich diese für den tatsächlichen Informationsdiebstahl nur geringfügig waren. In der Vergangenheit war die Unterstützung für neuere Versionen von Windows wie etwa Windows Vista oder Windows 7 und für Browser wie Mozilla Firefox nicht in die Grundfunktionalität der Toolkits integriert. Mit ZeuS 2.0 ist dies Standard.

Die großen Änderungen in ZeuS 2.0 sind darauf ausgerichtet, die Schadsoftware besser zu verbergen. Während die ZeuS 1.x-Versionen feste Dateinamen nutzten (die sich gelegentlich von Version zu Version änderten), verwendet ZeuS 2.0 Zufallsnamen. In ähnlicher Weise nutzten Mutexe pseudo-zufällig generierte GUID-Namen. Als Nebeneffekt erlaubt dies auch mehrfache ZeuS-Infektionen auf einer Maschine. Auch ist die Verschlüsselung in der neuen Version verstärkt worden.

Damit hat es die Bedrohungsintelligenz der Sicherheitsanbieter schwerer, auch wenn sie natürlich seither gelernt hat, mit der höheren Raffinesse von ZeuS umzugehen.

Der Erfolg von ZeuS bereitete wahrscheinlich den Boden für seine Wettbewerber. Der Preis für ein ZeuS Toolkit stieg bis auf 8.000 Dollar für das Basispaket, ausschließlich der Zusatzfunktionen. Weitere Module und Funktionen können den Preis bis auf 20.000 Dollar hochtreiben. Kein Wunder, dass weitere Informationsdiebstahl-Tools auftauchten, allen voran SpyEye.

Der Ursprung von SpyEye geht bis 2009 zurück. Die Trend Micro-Analysten wurden auf diese Schadsoftware erst aufmerksam, als sie eine SpyEye-Variante entdeckten. Das Bemerkenswerte daran war, dass sie bekannte ZeuS-Prozesse beendete, und damit sozusagen die Konkurrenz eliminierte. Dabei ist SpyEye billiger als ZeuS: Das Basispaket kostet lediglich 1.000 Dollar und mit Zusatzfunktionen kann der Preis bis auf 2.500 Dollar steigen. Einzelheiten zu SpyEye finden Sie auch in „Die SpyEye Schnittstelle CN 1“.

Schließlich ging SpyEye als „Sieger“ hervor. Am 1. Oktober nämlich führten die Bemühungen der internationalen Operation Trident Breach zur Zerschlagung einer ZeuS-Bande und die Festnahme von mehr als hundert Mitgliedern, darunter auch einiger ihrer Anführer. Wenige Wochen danach kündigte der ZeuS-Autor, als Slavik oder Monstr bekannt, seinen „Rücktritt“ an und übergab ZeuS an den SpyEye-Autor Gribodemon oder Harderman. Zwar wurde ein offizieller Zusammenschluss angekündigt, doch ist dieser noch nicht erfolgt. Auch gibt es Gerüchte darüber, dass Slavik weiter Malware für Elite-Kunden schreibt.

Im Oktober entdeckte Trend Micro Exemplare einer neuen ZeuS-Variante TSPY_ZBOT.BYZ, die ungewöhnliche Routinen besaß. Zusätzlich zu den eigenen üblichen Routinen für den Informationsdiebstahl konnte die Variante auch ausführbare Dateien auf den Systemen infizieren, ein Verhalten, das in bisherigen Versionen von ZeuS nicht vorhanden war. Diese Dateien wiederum nutzten einen dynamischen Algorithmus zur Domänengenerierung, um bösartige Dateien von verschiedenen Websites herunter zu laden.

Dies war eine gefährliche Entwicklung, denn die letzte Malware, die diesen Algorithmus für Download-Routinen nutzte war DOWNAD/Conficker. Eine Analyse zeigte eine sehr wohlkonstruierte Bedrohung, deren Ergebnis in dem Whitepaper “File-Patching ZBOT Variants: ZeuS 2.0 Levels Up” dokumentiert ist. Es werden immer neue ZeuS-Varianten veröffentlicht, die diese Technik nutzen – ein Hinweis darauf, dass die Taktik zum Standard wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*