木曜日, 7月 01, 2010

ZeuS/Zbotのボットネットとトロイ新バーション3.0


前回このブログで沢山ZeuS/Zbotトロイの内容を書きました。最初に発見された時のZeuSは普通のマルウェアと全然違うと思いずっとモニターしています。
今回の内容はZeuSボットネットとZbotトロイのバーション3が発見されて5月末/6月頭から流行りが初めて、現在は98件の感染されたURL通になりました。
ZeuSバーション3のコンポネントは前回のバーションと違い、もっとモジュラーなパッケージになりました、現在未だ調査切れてない状況なので時間が結構立ちましたから途中結果でもここで書いた方が良いかと思います。
下記調査したサンプル一覧スナップショットです、情報は全て揃いました。ソースIP、ドメイン、ASN情報迄に確認が出来ました。

今調べた結果では下記の結論が見えます↓

1.全て感染ページを見たらZeuS v3のコンポネント情報は↓
・トロイ、種類は沢山あり→バイナリ又はjavascript redirector/downloader/バイナリーdropper
・ドロップゾーン(drop zone)、これはv2から出た仕組みで…エンドポイントのアクセス先です。
・コンフィグファイル(config setting file)、今回トロイとdropzoneと別のURL
・ボットクライアントのトロイ、ダウンロードのバイナリーの形です、感染されたらボットネットクライアント機能を動かせる事が出来ます

2.ネットワークソースの調査結果↓
バーション3がつい出たばっかりなので、URL情報が前回よりも多いです。全てドメインやIPをASNのルートまでにトラックしました。100%のソースIPはロシアからです。間違いなくZeuSの開発者はロシアネットワーク環境が持っています。

3.このバーションの特別機能↓
マルウェア動きの特別機能に関しては特に無いです。マルウェア機能追加よりも検知しにくいは今回モジュラー・マルウェア仕組みの目的かと思われます。実は今回調査するのは大変です…それぞれのコンポネントはバラバラのURLからダウンロードしなくちゃ行け無いです。そのURLを分かるのはダウンローダーの見難いコードを見なくちゃ行け無いですね。そもそもトロイダウンローダーはjavascriptだけじゃなくてバイナリーもあります…、とにかく時間がかかりました。
トロイの中身を見たら、前回の最新ボットネット機能しか見えてません。未だ最後迄sandbox調査結果が出ないけど、結果が出たら未だ報告します。

4.バーション3の割合(現在)↓
未だ出たばっかりで、現在~15%のZeuSボットネットの感染割合情報ですので、もう少し調査したら止める方法が直ぐに分かるので。もし疑わしいスパムメール(特にjavascript添付されたメール)が発見されたら、マルウェアベンダーへ直ぐにレポート下さい。

恐らくそろそろこの新版ZeuS/Zbotバーション3の関係ニュースが出るかと思います。
---
http://0day.jp
マルウェアリサーチチーム
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿