土曜日, 6月 19, 2010

【マルウェア情報】Zeus/ZbotボットネットのAddOn/Plugin追加モジュール


Zeus/Zbotボットネット仕組みを何回もこのブログに書きました。

短くしますとZeusボットネット/Zbotトロイの目的/動き方は下記のサマリーとなります↓
1. HTTPフォームに入力されたデータを取る事
2. Windows Protected Storageに保存された個人情報を取る事
3. クライアント側X.509認証情報(PKI)を取る事
4. FTP(ウェブサーバ管理)とPOP3(メール受信)アカウント情報を取る事
5. HTTPとFlashのcookie情報を削除や取る事
6. HTMLページの情報を変更する事、目的はアクセス情報を取る事
7. 感染されたユーザは感染されたHTMLページに転送する事
8. 感染されたユーザのHTMLフォーム情報のスクリーンショット画像と取る事
9. 感染されたパソコンからの情報整理する事
10. 感染されたPCのローカルホストファイル(%systemroot%\system32\drivers\etc\hosts)を変更する事
11. 感染されたPCにマルウェアファイルをダウンロードと実行する事
12. 自動起動の為感染されたPCのRegistryキー情報を変更する事

今回Zeus/Zbotのボットネット追加Addon/Pluginやモジュールを説明差し上げます。Zeusボットネットの追加モジュールは世の中にも結構売られております。Zeusボットネットの追加モジュールを入れたらZeusボットネットの機能は追加されてます。下記は有名なZeusボットネットモジュール情報です。この情報はセキュリティ理解の為にシェアしました。インターネットセキュリティ情報は皆さんの理解が重要と思い セキュリティ情報を隠す必要はありませんと思っております↓

Zeus Kitバーション1.3.4.x以上 (価格は$3,000 ~ $4,000)
本件はプライベート版Zeusボットネットのモジュールです。このバーションは限定版みたいにZeusメーカと直接取引きとなります。プライベート版Zeusボットネットを使うと何台も使えるようになります(Zeusボットネットパッケージは一般のソフトと同じくHWライセンスIDが必要)

Backconnect (価格は~$1500)
backconnectモジュールを使うと感染されたマシンにボットネットから直接コマンドを実行する事が出来ます。目的は全てウェブで振り込み情報確認が出来ます。

「Firefox form grabber」 (価格は~$2000)
本モジュールを使うと全てFirefoxブラウザーのHTTPやり取りフォーム情報を取れます(PIIを含めて)。このモジュールはFirefoxバーション情報に合わせてずっとバーションアップされます。結構売れてますって聞いてます。

「(IM) chat notifier」(価格は~$500)
全てリアルタイムIM情報を取る事が出来ます。現在はJabberとTwitterの対応があります。このモジュールを使うと下記の情報が感染されたPCから取れます↓
Request Type :Domestic Wire
Name :John Smith
Address :1234 Main Street
City :Atlanta GA 12345
Payee Name :Some Bank
Memo :Credit to acc:1111111111
Beneficiary Account :Checking #0000001234
Beneficiary Address 1 :Georgia
Payee Bank ID :0123456
Bank Name :Some Bank
Addr1 :Atlanta Some Bank
Amount :1500000.00
From Account :My Money Market #123456789
Date Posted :01/01/10
Time Posted :2:00 PM


「VNCプライベートモジュール」(価格は~ $10,000)
このモジュールを使うと、上記のbackconnectモジュールと同じく、感染されたPCに直接繋ぐ事が出来ますが、違いのはVNCプロトコルでつなげます。

Windows7対応モジュール(価格は~$2000)
前回バーションのzbotトロイはWindows7に実行しますと基本的には難しいです。Windows7のセキュリティがしっかりしてます。Windows7で実行が出来るようにこのモジュールを売れてます。

Polimorphic/カメレオンZbotトロイのモジュール (金額情報が不明)
このモジュールを使うとZbotのトロイバイナリーSignature情報がころころ変わるようになります。このモジュールは最新出たばっかりで詳しい情報は未だ確認最中です。

下記はZeusのコントロールパネル画像↓

---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿