ZeuS взломали за одну минуту


KibershuleИсследователь безопасности под псевдонимом Xylitol всего за одну минуту взломал систему удаленного управления бота ZeuS.

ZeuS - один из самых опасный троянов, способный незаметно похищать средства с банковских online-счетов жертв (и не только). Злоумышленники создают свои варианты трояна с помощью различных инструментов и исходного кода, которые продаются на черном рынке.

Так вот. Исследователям давно известно, что бот, контролирующий код на C&C-серверах, имеет брешь в безопасности, эксплуатация которой может позволить им разрушить киберпреступные сети изнутри. Например, ранее сообщалось об ошибке удаленного выполнения кода в панелях управления ZeuS 2.0.8. Xylitol на примере продемонстрировал взлом Zeus 2.1.0.1.

Специалист извлек ключи RC4, которые используются для шифрования коммуникаций между ботами и C&C-сервером, а также URL-адрес сервера. Затем он проэксплуатировал брешь и получил доступ к центру контроля. Взлом Zeus прошел довольно просто, а если автоматизировать процесс взлома, то атаку можно осуществить еще быстрее.

В Symantec предположили, что исследователь использовал для взлома Zeus комбинацию эксплоитов, написанных на PHP. Ключ RC4 генерируется бот-мастером при настройке C&C-сервера, и боты, подконтрольные ему и заражающие компьютеры, используют тот же ключ. Они считают, что этот ключ может быть извлечен из бота и использоваться для того, чтобы "обмануть" сервер. Учитывая огромную популярность Zeus, возможность взлома делает его отличной целью для экспертов безопасности.


Обновлено (07.05.2014 14:09)