Schlagwort-Archive: SpyEye

Schließen sich ZeuS und SpyEye zusammen?

Originalartikel von Kevin Stevens (Senior Threat Researcher bei Trend Micro)

Ende Oktober hieß es, die Rivalität zwischen den ZeuS- und SpyEye-Schadcode-Familien endete mit einem Zusammenschluss der beiden. Die ZeuS-Autoren Slavik und Monstr seien untergetaucht und hätten den Quellcode ihres Toolkits dem SpyEye-Autor Gribodemon oder Hardeman übergeben. Nach diesen Nachrichten gab es verschiedene Spekulationen über die weitere Entwicklung, und viele Sicherheitsforscher gingen davon aus, dass eine neue Malware-Familie die Funktionen der beiden früheren Familien vereinen werde.

Die Untergrund-Recherche der Trend Micro-Forscher ergab, dass die Entwicklung von SpyEye eingestellt wurde. Eine Funktion von SpyEye wird in künftige Versionen von ZeuS Eingang finden. Es geht um die Möglichkeit in SpyEye, Plugins hinzuzufügen, nachdem das Hauptwerkzeug gekauft wurde. So lässt sich später die Funktionalität erweitern, ohne dass die neuen Eigenschaften Teil der „Basis“-Funktionalität werden. ZeuS nutzte bislang Module, die nach einem Kauf des Toolkits eingepasst wurden. Neuere ZeuS-Versionen werden nun Plugins heranziehen, so wie es SpyEye derzeit tut. Das bedeutet, dass ein Cyberkrimineller lediglich ein Plugin kaufen muss, wenn er neue Funktionen haben will. Früher musste er dazu eine neue Version kaufen.

Dennoch bleiben SpyEye und ZeuS für den Moment separate Malware-Familien. Laut Informationen des Trend Micro Smart Protection Network steigt die von SpyEye ausgehende Gefahr, denn die Zahl der von dieser Malware verursachten Infektionen ist seit Juli dieses Jahres um das Zwanzigfache gestiegen. Weitere Details finden sich auch unter „Offen wie ein Buch: 84 Prozent der Angriffe auf Online-Banking-Kunden sind erfolgreich“.

Auch gibt es Gerüchte darüber, dass der ZeuS-Autor sich nicht wirklich zurückgezogen hat, sondern stattdessen an einer neuen Malware arbeitet (sei es ZeuS oder vollkommen neue Familien), die er in erster Linie an „hochwertige Kunden“ verkaufen will.

Die Sicherheitsindustrie ist auf diese Gefahr vorbereitet. Ein Zeichen dafür ist auch die Tatsache, dass Roman Hüssy, der Administrator des ZeuS Tracker, den SpyEye Tracker gegründet hat, der dieselbe Funktion für SpyEye erfüllt wie ersterer für ZeuS. Dies hilft sowohl den Strafverfolgungsbehörden als auch den Sicherheitsfirmen bei der Untersuchung und Stilllegung von SpyEye C&C Servern. Trend Micro überwacht proaktiv die SpyEye-Bedrohung, um die Anwender zu schützen.

Die SpyEye Schnittstelle CN 1, Teil 1

Originalartikel von Kevin Stevens (Senior Threat Researcher bei Trend Micro)

SpyEye ist eine Schädlingsfamilie, die Online-Zugangsdaten für Bankkonten stiehlt. Die Malware ist auch als ZeuS-Killer bekannt, denn sie verhindert, dass ihr Konkurrent ZeuS auf den betroffenen Systemen abläuft, denn die Malware will selbst das System übernehmen. Wir berichteten bereits im Februar „Ein neues Botnet betritt die Bühne“ darüber.

Weniger bekannt sind Einzelheiten zu der Schnittstelle, welche die Kriminellen nutzen. Sie besteht aus zwei Komponenten: Zum einen ist da die Frontend-Schnittstelle CN 1 oder “Main Access Panel”. Von hier aus kann der Bot Master mit den Bots interagieren. Sie zeigt Statistiken bezüglich der infizierten Maschinen.

Die zweite Komponente, SYN 1 oder “Formgrabber Access Panel” fungiert eher als Backend und sammelt und loggt Daten. Darüber hinaus erlaubt sie dem Bot Master, Abfragen zu den gesammelten Daten zu stellen und die gestohlenen Informationen über die Schnittstelle anzusehen.

Dieser erste Teil beschäftigt sich mit der ersten Komponente.

Der Screenshot zeigt das “Hack the Planet!”-Logo, das anzeigt, wie viele Bots gerade online sind und aus wie vielen Teilen das Botnet derzeit besteht: Es sind im Bild 2.392 Bots online zu sehen, insgesamt sind es etwas mehr als 18.000. Auf der linken Seite wird außerdem das Datum sowie Uhrzeit des Servers angezeigt.

Der erste Button oben links, “Create task for billing”, erlaubt zusammen mit dem so genannten Billinghammer-Plug-in die Kreditkarten, die von bestimmten Sites gesammelt wurden, zu belasten. Auf diese Weise kann ein Bot Master direkten finanziellen Nutzen aus den gestohlenen Daten ziehen, ohne ein zu hohes Risiko etwa durch den möglichen Einkauf bei Amazon einzugehen.

Über den Bots Monitoring Button wiederum lässt sich checken, wie viele Bots in jedem Land infiziert wurden. Zudem enthält die Liste Details wie Anzahl der Bots mit einer bestimmten Version von SpyEye oder Anzahl der täglich hinzu gekommenen Bots. Obiger Screenshot zeigt, dass aufgrund eines Fehlers beim Update der geografischen IP-Informationen keine Länder aufgelistet werden. Der Master hinter diesem Bot kann durchschnittlich etwa 1.500 Nutzer täglich infizieren und zu dem eigenen Botnetz hinzufügen.

Dieser Screenshot zeigt das Ergebnis des Full Statistics Button. Die meisten infizierten Maschinen laufen unter Windows XP, aber auch Windows 7 ist dabei. Etwa 80 Prozent der infizierten Nutzer sind mit Administratorenrechten angemeldet.

Der Create Task for Loader Button dient dazu, das Bot anzuweisen, Kontakt zu einer bestimmten Site aufzunehmen, um Clicks für mögliche Einnahmen durch Werbung zu generieren oder weitere Schädlinge herunter zu laden.

Der Update Bot Button spricht für sich selbst. Er wird dazu verwendet, um die Konfigurationsdateien und aktualisierte SpyEye-Binaries für die Bots hochzuladen.

Der Virtest Button schließlich ist einzigartig. Es handelt sich dabei um eine Website in Osteuropa, die es angemeldeten Nutzern ermöglicht, Binärdateien zu scannen und Exploit-Pakete darauf zu testen, ob Antivirus-Engines sie entdecken. Es ist ein bezahlter Service, für den Nutzer pro Scan zahlen. Sobald ein Nutzer seine aktualisierte Binärdatei hochlädt, erscheint der link zu Virtest.

Mit dem Settings Button lassen sich die meisten Einstellungen für alles, was im CN 1 Kontroll-Panel läuft, anzeigen. Unten auf der Seite gibt es einen Bereich für das Virtest-Login. Auch sind Bereiche für FTP-Backconnect und Socks 5 Backconnect vorhanden. Diese erlauben es dem Bot Master Rückverbindungen zum Bot aufzusetzen und verschiedene Aufgaben auszuführen.