Aufstieg des Point-and-Click-Botnets

Im Jahr 2005 entwickelte eine russische Hackergruppe namens UpLevel Zeus, ein Point-and-Click-Programm zum Erstellen und Steuern eines Netzwerks kompromittierter Computersysteme, auch bekannt als Botnet. Fünf Jahre später ist die neueste Version dieser Software, die kostenlos heruntergeladen werden kann und nur sehr geringe technische Kenntnisse erfordert, eine der beliebtesten Botnet-Plattformen für Spammer, Betrüger und Personen, die mit gestohlenen persönlichen Daten handeln.





Geld schnappen: Die Zeus-Software erstellt einen Passwort-Stealer, der unter anderem auf Anmeldeinformationen für Citibank, WebMoney und Wells Fargo abzielt.

Letzte Woche hat die Sicherheitsfirma Netzzeuge , mit Sitz in Herndon, VA, veröffentlichte einen Bericht, der die Verwüstung hervorhebt, die die Software anrichten kann. Es dokumentiert ein Zeus-Botnet, das fast 75.000 Computer in mehr als 2.400 Organisationen kontrollierte, darunter der Arzneimittelhersteller Merck, der Netzwerkgerätehersteller Juniper Networks und das Hollywood-Studio Paramount Pictures. Innerhalb von vier Wochen wurde die Software verwendet, um mehr als 68.000 Anmeldedaten zu stehlen, darunter Tausende von Facebook-Anmeldungen und Yahoo-E-Mail-Anmeldungen.

Sie hatten sowohl in Unternehmen als auch in Regierungsbehörden kompromittierte Systeme, sagt Alex Cox, leitender Analyst bei NetWitness.



Eine Umfrage, die von einer anderen Sicherheitsfirma mit Sitz in Atlanta durchgeführt wurde Damballa – stellte fest, dass Zeus-kontrollierte Programme im Jahr 2009 die zweithäufigsten in Unternehmensnetzwerken waren. Damballa verfolgte mehr als 200 Zeus-basierte Botnets in Unternehmensnetzwerken. Das größte einzelne Botnetz, das mithilfe der Zeus-Plattform kontrolliert wurde, bestand aus 600.000 kompromittierten Computern.

Die Zeus-Software ist weniger wichtig für ihre Eroberungen als für ihr hohes Ansehen bei Cyberkriminellen. Zeus ist unglaublich beliebt bei Leuten, die basteln und ihr eigenes kleines Unternehmen gründen wollen, wenn man so will, sagt Gunter Ollman, Vizepräsident für Forschung bei Damballa.

Eine Gruppe von vier oder fünf Entwicklern begann 2005 mit der Arbeit an Zeus. Im folgenden Jahr veröffentlichten sie die erste Version des Programms, einen einfachen Trojaner, der sich auf einem infizierten System verstecken und Informationen stehlen soll. Im Jahr 2007 brachte die Gruppe eine modularere Version heraus, die es anderen Underground-Entwicklern ermöglichte, Plug-Ins zu erstellen, um ihre Funktionalität zu erweitern.



Die neueste Zeus-Plattform ermöglicht es Benutzern, benutzerdefinierte Schadsoftware zu entwickeln, um Zielsysteme zu infizieren, ein weit verstreutes Netzwerk kompromittierter Maschinen zu verwalten und das resultierende Botnet für illegale Zwecke zu nutzen. Der Baukasten enthält ein Programm zum Erstellen der Bot-Software und Web-Skripte zum Erstellen und Hosten eines zentralen Command-and-Control-Servers.

Unabhängige Entwickler haben kompatible Exploit-Packs erstellt, die die Systeme der Opfer über Schwachstellen im Betriebssystem oder Browser infizieren können. Andere Entwickler konzentrieren sich auf die Entwicklung von Plug-in-Software, die angehenden Cyberkriminellen dabei helfen soll, mit einem Zeus-Botnet Geld zu verdienen. Einige Add-Ons konzentrieren sich auf Phishing-Angriffe – sie liefern beispielsweise Bilder und Webseiten, die zum Erstellen betrügerischer Banking-Sites erforderlich sind. Andere Add-Ons bieten Bot-Betreibern die Werkzeuge, um Spam-Kampagnen zu erstellen. Es gibt eine ganze Heimindustrie rund um die Entwicklung von Add-Ons für Zeus, sagt Don Jackson, ein Sicherheitsforscher bei der Einheit zur Abwehr von Bedrohungen bei SecureWorks, einem Unternehmen mit Sitz in Atlanta.

Die Verfügbarkeit des Quellcodes für Zeus habe viele Entwickler angezogen, sagt Jackson. Online-Schurken, die ihr eigenes Botnet kontrollieren wollen, beginnen mit Zeus, weil es einfach zu bedienen ist, sagt er, während die Add-Ons und Erweiterungen anspruchsvollere Benutzer zufriedenstellen. Es ist von Anfang an sehr einfach zu bedienen, sagt Jackson. Aber wenn Sie die erweiterte Funktionalität hinzufügen, die Tausende von Dollar kostet, wird es zu einem Werkzeug für fortgeschrittene Bediener.



Sogar die grundlegenden Zeus-Kits enthalten Verschleierungstechniken, um der Erkennung durch Antivirensoftware und andere Sicherheitsmaßnahmen zu entgehen. In einem Experiment stellte der Berater Alex Heid von Information Security Services fest, dass nur etwa die Hälfte der Antivirensoftware eine bekannte Zeus-Nutzlast erkannte. Nach dem Einsatz einiger einfacher Techniken zum Maskieren des Codes sank die Erkennungsrate noch weiter auf 10 Prozent. Die Technologien zur Cyberkriminalität schreiten schneller voran als die Sicherheitstechnologien, sagt Heid.

Sobald Zeus ein System kompromittiert hat, gibt es laut Jackson dem Benutzer kein Anzeichen dafür, dass es da ist. Wie sieht Zeus aus, wenn es Ihren Computer infiziert? Nun, starre jetzt auf deinen Computer, und so sieht er aus, sagt Jackson. Es wurde entwickelt, um seine Arbeit zu erledigen und es erfolgreich und leise zu tun.

Sowohl Damballa als auch NetWitness verkaufen zwar Technologien und Dienste zur Erkennung von Kompromittierungen in Unternehmensnetzwerken, jedoch keine Software für Endbenutzer.



Die meisten Unternehmen, mit denen wir zusammenarbeiten, haben eine große Anzahl von Benutzern, sodass sie die Verteidigung ihrer Computer praktisch aufgeben, sagt Ollmann. Sie machen den besten Versuch mit Antiviren- und Firewalls, aber sie akzeptieren, dass ein gewisser Prozentsatz ihrer Systeme infiziert wird, also konzentrieren sie sich darauf, die (kompromittierten) Systeme zu erkennen und wieder aufzubauen, anstatt sich gegen alle Bedrohungen zu verteidigen.

Cox fügt hinzu, dass die Konzentration auf die Kommunikation zwischen infizierten Systemen und einem Command-and-Control-Server normalerweise der beste Weg ist, Infektionen abzufangen. In der aktuellen Bedrohungsumgebung ist es wirklich wichtig zu verstehen, wie die Normalität in Ihrem Netzwerk aussieht, damit Sie Anomalien lokalisieren können, sagt er. Vertrauen Sie nicht nur Ihren vorhandenen Sicherheitskontrollen und behalten Sie Ihr Netzwerk im Auge.

verbergen