zeus trojan

Vi börjar med att fastställa vad ett malware faktiskt är. Det är både enkelt och svårt att förklara.

Malware är nämligen per definition inte ett enstaka fenomen utan en samlingsterm för en stor mängd olika typer av skadliga element. Under malware-paraplyet ryms bland annat alla typer av virus, trojaner, maskar, ransomware, scareware, adware och spionprogram.

Det går därför heller inte att göra en generell beskrivning för hur malware skapas, sprids och fungerar. Olika typer av malware kan vara snarlika eller totalt väsensskilda från varandra.

Du har väl inte missat: Framtidens malware kan sänka samhället

Malware fungerar också på många olika sätt, och ett specifikt malware kan byggas ut med nya funktioner.

Med andra ord har den som arbetar med att spåra, analysera och motverka malware en tuff uppgift framför sig. Utvecklingen går i en rasande fart och det dyker hela tiden upp nya varianter, antingen från existerande virusstammar och kodfamiljer eller genom helt nya hot. 

Många åsikter om försvaret

I den här analysen kommer vi inte att försöka reda ut hur du bäst stoppar ett malware. Tyvärr finns det nästan lika många åsikter om vad som är bästa försvaret som det finns varianter av malware. Dagens malware är också mer komplexa i sin uppbyggnad och funktion än för bara några år sedan, för att minimera risken för att de ska bli upptäckta av vanliga antivirusprogram.

De flesta som arbetar med it-säkerhet är överens om att traditionella säkerhetslösningar, till exempel virusskydd som förlitar sig på listor och definitioner, inte räcker som försvar.

För att den här artikeln inte ska förvandlas till en bokserie om olika typer av malware har vi valt att fokusera vår genomgång på ett enda malware, ett som fått tusentals kodbesläktade efterföljare och som genom åren slagit hårt mot miljontals användares plånböcker, genom såväl datorer som mobila enheter. Namnet är Zeus, och vi kommer att gå igenom steg för steg vad Zeus är, hur det skapas, sprids och vad det gör när det väl satt klorna i dig.

Till vår hjälp har vi James Tucker, säkerhetsingenjör på Intel Security. Han har arbetat med it-säkerhet sedan 2006 och har stor kunskap om de olika typer av malware som hotar såväl privatpersoner som organisationer. 
Zeus, även känt som Zbot, är en de värsta och mest långlivade malware-familjerna någonsin.

Experten: James Tucker

Ursprungligen från Washington D C. Har arbetat med it-säkerhet sedan 2006 och är specialiserad på nätverks­säkerhet, med ett passionerat förhållande till intrångsskydd och gateway-säkerhet. Sedan sju år arbetar han som säkerhetsingenjör på Intel Security i Norden.

Han är också intresserad av immaterial-rätt och integritetsfrågor, och njuter gärna av en god öl och en fin cigarr – och av att få fånga in skadliga nätverkspaket. Du hittar honom på Twitter: @jamesjtucker


– Zeus är urfadern till moderna malware. Nättjänsten Zeus Tracker visar kända command and control-servrar, och den listar i dag 780 olika varianter. Det är en imponerande siffra, säger James Tucker.

Han berättar att det genom åren upptäckts tusentals varianter av Zeus-koden, och som tillsammans använts för att stjäla miljontals, förmodligen miljardtals dollar. Några av de mest kända är Carberp, Citadel och Eurograbber.

Bara den sistnämnda beräknas ha stulit närmare 40 miljoner euro från hundratusentals bankkunder, främst i Italien, Spanien och Tyskland. Hur kan ett malware vara så effektivt?

– Det är inte bara ett malware eller en trojan. Det har blivit en kommersiell verksamhet som tillhandahåller en verktygslåda som hjälper dig att skapa ditt eget specialdesignade malware.

Och som med all kommersiell verksamhet försöker försäljarna hela tiden förbättra sin produkt. I dag finns det support, felsökningstjänster och marknadsplatser för Zeus-malware av många olika typer, berättar James Tucker.


Tre viktiga komponenter

Hur är då ett modernt Zeus-malware uppbyggt, och hur fungerar det? 
James Tucker förklarar:

– Zeus består av tre viktiga komponenter: verktygslådan, command and control-servern och själva malware-koden.

Zeus

I dag har Zeus förvandlats till en industri med marknader där en angripare kan köpa olika grund- och tilläggspaket för att skapa sin egen variant. 

Med verktygslådan kan man anpassa och bygga sin Zeus-trojan efter egna önskemål. Lådan är ganska användarvänlig och till och med en outbildad angripare med resurser att köpa den kan generera nya versioner på några minuter. Den brukar kosta någonstans mellan 500 och 1 000 dollar och antalet ställen där den här typen av ”tjänster” har växt kraftigt de senaste åren.

Efter att angriparen gjort inköpet kan hen anpassa inställningarna och baka in sina tilläggsfunktioner, varpå verktygslådan skapar både en körbar fil och en krypterad konfigurationsfil.

Det finns vissa standardfunktioner i Zeus, berättar James Tucker. En sådan är möjligheten att stjäla data från skyddad lagring, till exempel användarnamn och lösenord som är sparade i webbläsaren.

– Den mest intressanta delen är konfigurationsfilen som gör att angriparen kan anpassa Zeus efter eget huvud. Det går att lägga till funktioner för att definiera specifika webbadresser att övervaka eller sätta in ytterligare innehåll på webbsidor, som att lägga till ett fält för person-nummer eller pinkoder på en i övrigt helt normal inloggningsskärm, säger James Tucker.

Den informationen kan sedan skickas direkt till den server som angriparen kontrollerar.

Zeus sprids vanligtvis med hjälp av skräppost eller genom så kallade drive by-nedladdningar. Skräppost är dessvärre fortfarande den mest effektiva metoden för att lura användare att klicka på länkar.

– Min personliga favorit är de skatteåterbäringsmejl jag får i deklarationstider som lovar att jag ska få 8 000 kronor genom att klicka på länken. Jag har också sett falska paketspårningsmejl, och vad som till synes är officiell kommunikation från myndigheter, säger James Tucker.

Problemet är att dessa metoder kräver användarinteraktion, alltså helt enkelt att någon klickar på länken. För att slippa det kravet har utvecklarna av Zeus också möjliggjort så kallade drive by-nedladdningar för att sprida sitt skadliga program med hjälp av komprometterade webbservrar. Allt som då krävs för smittspridning är att en användare besöker webbplatsen med en sårbar dator.

På sidan 28 och här ovan visar lite närmare på hur Zeus fungerar, både i sin klassiska pc-skepnad och i de mobila varianterna. Vi vill av naturliga skäl inte skriva en detaljerad guide till hur du köper, konfigurerar och använder Zeus, utan fokuserar på vad som händer i din dator när du attackeras. James Tucker satte upp en sandboxad miljö och lät Zeus löpa fritt – våra beskrivningar här baseras på iakttagelser från den under-sökningen.

Så fungerar Zeus

Zeus1

1. Zeus finns som sagt i tusentals varianter, men de uppvisar i allmänhet samma infektionsmönster. Om den aktuella användaren har administratörsrättigheter kopierar den skadliga koden in sig i en system-mapp, i det här fallet ntos.exe. Där sätter den sina egna behörigheter och skapar en kopia av sig själv med ett officiellt klingande namn, och en kopia av sin konfigurationsfil. 

zeus2

2. Därefter modifierar Zeus registret så att den skadliga koden startar tillsammans med systemet. Det viktigaste som koden skapar i det här läget är en fil som lagrar stulen data, vilket är det främsta syftet med nästan all malware.

Information som användarnamn, lösen­ordskombinationer och bankuppgifter loggas, eller i princip vad som helst annat som angriparen konfigurerat sitt malware att stjäla.

Om möjligt kommer det att injicera sig själv vidare i systemtjänster som winlogon.exe eller svchost.exe. Genom att sprida den skadliga koden på det sättet är det meningen att den inte ska kunna tas bort fullständigt om den blir upptäckt, så att den sedan kan infektera enheten på nytt.

På bilden ser du resultaten av vår sandbox-körning av Zeus, där det injicerar sig in i winlogon.exe-processen och skapar audio.dll och video.dll, som är lagringsplatser för den stulna informationen.

zeus3

3. När maskinen väl är smittad, kommer Zeus att kontakta command and control-servern, och omedelbart ladda upp eventuella användarnamn/lösenord-kombinationer som har hittats i skyddad lagring. Det skadliga programmet kommer också att ta bort alla kakor, det tvingar användaren att logga in på sparade webbplatser igen vid nästa besök. Servrar definieras i konfigurationsfilen som skapats av verktygslådan, och kan uppdateras dynamiskt för att förhindra upptäckt, vilket gör att angriparen kan hantera och underhålla sina infekterade värdar.

Från kontrollservern kan angriparen uppdatera konfigurationen, ändra filer, styra användarnas surfning, och i senare varianter som Cryptolocker, kryptera användarnas filer och utpressa dem. I huvudsak har angriparen i det här skedet fullständig kontroll över värden.

Så går mobilattacken till

James Tuckers beskrivning visar den grundläggande funktionaliteten i en Zeus-trojan, men det finns många andra funktioner som en angripare kan koppla på – det finns egentligen inga gränser för hur mycket information som kan stjälas med hjälp av Zeus. Utöver sparade lösenord kan såväl aktivitet i sociala nätverk och allt du skriver på ditt tangentbord loggas. 

De senaste åren har också ett antal Zeus-varianter som anpassats för smartphones och mobila os dykt upp. Zitmo (Zeus in the mobile), som den mest kända varianten kallas (även om det också blivit ett samlingsnamn) skapades med ett enda syfte: att stjäla de mtan-koder som används för att utföra bankärenden i telefonen.

Mtan, mobile transaction authorization numbers, skickas som sms av banker för att användas vid inloggning eller godkännande av transaktioner. Zitmo stjäl dessa koder och skickar dem vidare till angriparens server så att angriparen kan utföra ekonomiska transaktioner med hackade konton.

För att det ska fungera arbetar den mobila varianten av Zeus tätt ihop med den pc-baserade för att kunna kringgå alla säkerhetsfunktioner som internetbankerna använder för mtan. På egen hand är Zitmo enbart kapabelt att spionera och vidarebefordra sms.

Eurograbber fungerar på ett liknande sätt, och varken banken eller användaren har någon möjlighet att se att det är något skumt i görningen. För användaren ser det ut som legitim kommunikation med mobilbanken och för mobilbanken ser det ut som en legitim transaktion från användaren.

Efter att Zitmo och Eurograbber upptäcktes har banker vidtagit åtgärder och förändrat sina säkerhetsrutiner, säkerhetsanalytiker tror ändå att vi kommer få ser ännu fler attacker mot smartphones, mobilbanker och betalsystem med hjälp av Zeus-baserad malware.
Zitmo och liknande mobila versioner av Zeus kan angripa Android, Windows Phone, Blackberry OS och Symbian. För IOS har det ännu inte upptäckts någon fungerande variant. Värt att tillägga är också att vi i Sverige varit i stort sett helt förskonade från den här typen av angrepp, eftersom svenska banker var tidigt ute med bättre säkerhet jämfört med många andra länder.


En attack mot din mobilbank följer nästan alltid samma mönster:

1. Angriparen använder ett pc-baserat Zeus-malware för att stjäla de uppgifter som behövs för att dina personuppgifter, vilken bank du använder, och ditt mobilnummer för att kunna skicka falska sms.
2. Din mobiltelefon får ett sms med en begäran om att installera ett uppdaterat säkerhetscertifikat, eller någon annan nödvändig programvara. Länken i textmeddelandet leder vidare till den mobila versionen av Zeus – Zitmo; Zeus in the mobile.
3. Om du installerar programvaran som infekterar telefonen kan angriparen använda de stulna personuppgifterna och försöka att göra kontanttransaktioner från ditt konto, men behöver en mtan-kod för att verifiera transaktionen. 
4. Banken skickar ut ett textmeddelande med mtan-koden till din mobiltelefon. 
5. Zitmo vidarebefordrar mtan-koden till angriparens telefon. 
6. Angriparen kan slutligen använda den stulna mtan-koden för att verifiera transaktionen.

attack


builder

Med Zeus-verktygslådan skapar angriparen en körbar fil och en konfigurationsfil. Zeus går att modifiera på otaliga sätt och nya funktioner för specifika typer av attacker går att lägga till. 

commands

När Zeus är färdigbyggt är det dags att finlira i kontrollpanelen, för att kunna stjäla ytterligare information, göra förändringar i botnätet eller för att ge angriparen ännu större kontroll över offrets dator.

TechWorlds slutsats                                        

Zeus är utan tvekan ett av tidernas värsta malware. Det är inte enbart den skadliga koden i sig som är ett avancerat hot. Att det byggts upp en affärsverksamhet tack vare den stora efterfrågan har lett till att allt fler skrupelfria programmerare sett en chans att tjäna pengar på att skapa nya varianter.

En angripare som vill använda Zeus i sina attacker behöver inte själv kunna koda, utan kan köpa det här som en tjänst, och med hjälp av leverantören också skräddarsy sitt malware.

Dessutom är flera varianter som dykt upp sammanfogningar mellan Zeus och annan skadlig kod, vilket leder till ett ännu mer sofistikerat malware. Zeus kan alltså byggas ut med funktioner för ransomware eller för att bättre undvika detektering.
En attack med hjälp av Zeus är oerhört svår att upptäcka för en vanlig användare, även om det i många fall krävs viss interaktion från användarens sida. Genom att den skadliga koden kan övervaka i princip allt användaren gör, kan attackerna planeras och utföras i flera steg och över fler enheter.

– På grund av sin användarvänlighet, enkla hantering, dygnet runt-support och låga startkostnad är det lätt att se varför Zeus är så oerhört populärt bland de mörkare krafterna på webben, och varför det har varit en sådan galjonsfigur i malware-världen under så lång tid, säger James Tucker.

– Det finns så många varianter och efterträdare, inte minst efter att källkoden till Zeus verktygslåda läckte ut 2011, att det är en utmaning bara att nämna dem alla. En sak är i alla fall dessvärre säker: Detta malware att finnas kvar under lång tid framöver.

wanted

Flera personer har påstått sig vara den som skrev den ursprungliga Zeus-koden. 2011 läckte koden ut på nätet, det är fortfarande oklart om det var avsiktligt eller ett misstag. 

Mer på nätet

Zeus Tracker, nättjänsten som listar Zeus kontrollservrar:
https://zeustracker.abuse.ch

Heimdal Security listar topp tio finansiella malware, och Zeus dominerar: tinytw.se/topmalware

Fortiguard har gjort en omfattande analys av hur ett Zeus-malware skapas: tinytw.se/zeusanalys

Sourcefire har låtit sitt Snort-team analysera Zeus beteende:
tinytw.se/snortzeus

För den som vill grotta ner sig i Zeus på kod- och registernivå har IO Active gjort en mycket omfattande rapport: tinytw.se/zeuscode