Resultados 1 al 2 de 2

Zeus, o cómo desarrollar un troyano indetectable para la mayoría de antivirus

  1. #1 Zeus, o cómo desarrollar un troyano indetectable para la mayoría de antivirus 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Que confiar toda la seguridad de nuestros equipos a un antivirus es absolutamente inútil es algo que todos sabemos (o deberíamos saber). Que los estudios sobre virus y antivirus propician que cada cual cuente la feria según le ha ido tampoco es una novedad.

    Que los antivirus, por desgracia, son cada día menos efectivos, es algo que se viene comprobando desde hace bastante tiempo, y buena culpa de ello la tiene la especialización de la industria del malware.

    Considerando todo lo anterior, os enlazo un interesante documento que bien podría poner en jaque a la industria antivirus. Se llama Measuring the in-the-wild effectiveness of Antivirus against Zeus, y como su propio nombre indica, es un estudio en el que se trata de analizar la efectividad de los antivirus a la hora de proteger a los usuarios de Zeus.

    La familia Zeus, también conocida como Zbot, WSNPOEM, NTOS y PRG, es una familia de troyanos financieros de alta especialización orientados al robo de credenciales. Como buen pack de crimeware, Zeus viene acompañado de un panel de control PHP y un ejecutable para construir el troyano a medida. Entre las poco honrosas habilidades de Zeus se encuentran la capacidad de interceptación de credenciales en cualquier puerto TCP, incluyendo HTTP y HTTPS, la posiiblidad de ser personalizado en el momento de la compilación, comunicación aunque la máquina infectada esté tras NAT mediante un proxy Socks 4/4a/5, o la generación de capturas de pantalla del escritorio de la máquina infectada, por citar algunos ejemplos.

    Zeus incorpora una lista de direcciones que, una vez visitadas por la víctima, disparan el proceso de apropiación ilegítima de las credenciales, enviándolas en tiempo real al servidor de destino. También tiene capacidad para inyectar código HTML, superponiendo falsos formularios de autenticación a los legítimos. Zeus también es el nombre de una red de ordenadores infectados (botnet) que sólo en Estados Unidos cuenta con más de 3,5 millones de máquinas infectadas por esta virulenta familia de troyanos.

    Pero lo peor de Zeus es que utiliza algunas técnicas rootkit para evadir la detección de los antivirus, y quizás ese sea el factor que hace que sea extremadamente difícil su tratamiento. En el estudio de Trusteer las cifras hablan por sí mismas: después de analizar 10,000 máquinas infectadas, la principal conclusión es que Zeus acaba infectando el 77% de las máquinas con antivirus actualizados, lo que reduce la tasa neta de efectividad a un 23%. Para más inri, la mayoría de las infecciones detectadas (un 55%) correspondía a equipos con antivirus actualizados.

    Que sólo un 23% de los despliegues antivirus consiga frenar un troyano y sus variantes es una cifra que debe hacernos pensar y mucho. Yo, si os sirve de algo, os aliento a que dejéis de pensar en que el antivirus que tenéis instalado es el Santo Grial de la protección, y que empecéis a considerar seriamente realizar una navegación responsable, huyendo del software pirata que hay en las redes de pares, los cracks, los keygens y los ficheros ZIP y/o RAR de la mula con las últimas canciones del Bisbal y compañía.

    Sí, ya sabemos que según la legislación y jurisprudencia española descargar música sin ánimo de lucro no es un delito, pero la cantidad de descargas que además de la canción del verano incluyen regalito sorpresa es bastante más elevada de la que podáis pensar. Os recomiendo también que evitéis la tentación de ver cuerpos femeninos/masculinos en poses provocativas en páginas de dudoso origen y contenidos, ya que también son fuente habitual de contaminación. Sé que a alguno le costará trabajo, pero le va en ello su salud financiera

    Enlaces:
    http://www.sahw.com/wp/archivos/2009...-de-antivirus/
    http://blog.s21sec.com/2009/09/detectando-un-zeus.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2 Detectando un ZeuS 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Ya llevamos un tiempo hablando de nuestro inseparable amigo, casi un colega de trabajo más: el ZeuS. Sigue dando guerra después de más de 3 años, cambiando y evolucionando para conseguir ocultarse mejor y realizar un fraude de mayor calidad. Pero lo que quizá no hemos comentado es cómo saber si nuestro amiguito está con nosotros, espiando todos nuestros movimientos e informando con detalle a sus padres, ya que los antivirus no son siempre efectivos.

    Existen varias evidencias que nos pueden hacer pensar que estamos infectados por un ZeuS, en sus diferentes versiones:

    • Sistema de archivos
      ZeuS deja rastro en el sistema de archivos cuando se encuentra instalado en el sistema, pero oculta y bloquea todos los archivos que crea, de tal forma que un usuario normal no podría verlos ni eliminarlos. La opción para lograr ver estos archivos es el uso de un software antirootkit que muestre archivos ocultos, dejando claro que algo pasa en nuestro equipo.



    • Ahora mismo el nombre más habitual del binario es sdra64.exe y su directorio de configuración c:\windows\system32\lowsec, pero esto varía según versiones. Ya se hizo mención de los distintos nombres de los archivos de configuración, así que ahora enumeraré la nomenclatura de los binarios que hemos visto:

      ntos.exe
      oembios.exe
      twext.exe

      twex.exe
      sdra64.exe

      bootlist32.exe

      userinit32.exe

      bootwindows.exe


    • Registro de Windows
      Otra forma de detectar la infección es a través del registro de Windows. El troyano asegura su ejecución al arrancar el equipo mediante la inclusión de la ruta del binario en la siguiente entrada del registro:


      HKLM/SOFTWARE/Microsoft/WindowsNT/Winlogon@Userinit

      De esta forma, simplemente abriendo el editor del registro (regedit.exe) podríamos localizar nuestro ZeuS:


    • Hooks
      ZeuS necesita de varios hooks en diferentes funciones para poder realizar la inyección de código, captura de credenciales, etc. Estos hooks se situarán en en la mayoría de los ejecutables que se inicien y los más habituales son los siguientes:


      • ntdll.dll
      NtCreateThread
      LdrLoadDll
      LdrGetProcedureAddress
      NtQueryDirectoryFile
      • user32.dll
      GetClipboardData
      TranslateMessage
      Para saber si están colocados en nuestros procesos deberemos usar también algún software antirootkit:


    • Comportamiento raro en la banca electrónica
      Es de esperar que a la gente que usa a diario la banca electrónica les resulte rara la adición de un campo extra pidiendo más credenciales de acceso, como puede ser la clave de firma, o que tras el login se soliciten todas las posiciones de la tarjeta de coordenadas. Quizá sea más complicada la detección para las personas que hacen un uso más ocasional del aplicativo, pero en cualquier caso lo ideal sería consultar con la entidad bancaria cuando se note alguna diferencia o elemento extraño. Este sería un ejemplo antes y después de la inyección de ZeuS:



    • Parámetros extra (lado del servidor)
      Normalmente al añadir campos adicionales mediante inyección HTML estos parámetros extra viajan también al servidor del banco, que, dependiendo del código inyectado, podrá localizarlos y generar una alerta informando de una posible infección.


    • Mutex creados por el troyano
      Por último, y como detección de nivel avanzado, se puede comprobar la ejecución del troyano en el sistema gracias a la existencia de varios mutex que éste crea. Se podría entonces realizar una llamada a una función como OpenMutex intentando abrir los mutex típicos de ZeuS y si no da error sería signo de una infección clara. Los mutex localizados hasta el momento son:

      __SYSTEM__64AD0625__
      _H_64AD0625_
      _AVIRA_2109
      _LILO_1909
      _SOSI_1909


    Jose Miguel Esparza
    S21sec e-crime
    http://blog.s21sec.com/2009/09/detectando-un-zeus.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

Temas similares

  1. Troyano Indetectable '09
    Por APE en el foro MALWARE
    Respuestas: 3
    Último mensaje: 06-09-2009, 18:32
  2. Respuestas: 5
    Último mensaje: 29-11-2007, 00:25
  3. Respuestas: 2
    Último mensaje: 05-03-2004, 21:49
  4. Respuestas: 1
    Último mensaje: 02-07-2002, 13:54
  5. Troyano indetectable.
    Por Mendigo en el foro GENERAL
    Respuestas: 0
    Último mensaje: 14-03-2002, 14:40

Marcadores

Marcadores