تا %60 تخفیف خرید برای 7 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

Zeus چیست؟ معرفی تروجان بانکی زئوس

همه چیز در مورد تروجان بانکی زئوس : تروجان (Trojan) ها در واقع بدافزارهایی هستند که امکان تکثیر نداشته و بوسیله ویروس ها یا کرم های اینترنتی بر روی سیتم قربانی قرار می گیرند و در ظاهر خود را خوب جلوه می دهند ولی در پشت پرده اهداف مخربانه خود را دنبال می کند.(واژه شناسی انواع بدافزارها قسمت اول ) این بدافزارها برای ناشناس ماندن از دید آنتی ویروس ها اقدام به رمزگذاری خود با استفاده کدهای مربوطه می کنند. به تعدادی از مهمترین روشهای مختلفی که تروجان‌ها از آن طریق وارد سیستم قربانی می شوند و باعث آلوده شدن کامپیوتر می شوند در زیر اشاره می شود.

  • انتقال بدافزار از طریق فلش ، هارد های اکسترنال و رسانه های ذخیره ساز مشابه
  • ورود به سایت های نامعتبر و کلیک بر روی لینک های ناشناس
  • بازکردن پیوست های ایمیل های ناشناس و نامعتبر
  • از طریق دانلود و نصب برنامه ها و نرم افزارهای رایگان سایت های نامعتبر
وب سایت توسینسو

در ادامه به تشریح فعالیت تروجان زئوس می پردازیم. زئوس در سال 2007 شناسایی شد و در حالی که توانایی انجام انواع فعالیت های خرابکارنرو در حوزه سرقت و دستکاری اطلاعات داره ، اما اغلب برای سرقت اطلاعات بانکی مورد استفاده قرار می گیرد. این تروجان قابلیت اجرا بر روی کلیه نسخه های ویندوز را داشته و با استفاده از تکنیک چند ریختی، مانع از شناسایی شدنش توسط آنتی ویروس ها می شود.

زئوس با پیاده سازی لایه‌های رمزنگاری چندگانه، عمل رمزنگاری را جهت شناسایی خودش توسط ویروس یابهای پیشزفته انجام می دهد. نحوه کار این تروجان بطور کلی، به این صورت بوده که حافظه ای را برای خود با استفاده از VirtualAlloc در Heap ایجاد می کند و سپس لایه رمزگشایی‌شده جاری را به Heap کپی می‌کند و آنرا اجرا می‌کند. هر لایه یک روشی از مبهم سازی را با استفاده از الگوریتم های رمزگذاری XOR و ROR پیاده سازی می کند.

وب سایت توسینسو

زئوس فایلهای مخفی زیر را در سیستم قربانی ایجاد می کند.

\windows\system32\lowsec\user.ds-stored keystrokes and imagedata\
\windows\system32\lowsec\local.ds-retrieved configuration data
\windows\system32\lowsec\user.ds.lll
\windows\system32\lowsec\sdra64.exe-encrypted bot executable

این فایلها بر روی دیسک به دلیل هوک API مربوط به NtQueryDirectoryFileمخفی هستند. تابع NtQueryDirectoryFile اصلی فراخوانی می شود و نتایج برای مخفی کردن فایلهای ضروری فیلتر میشوند. فایلهای ذخیره سازی و پیکربندی نه تنها مخفی هستند ، بلکه توسط الگوریتم RC4 که کلید آن، یک کلید 754 بایتی رمزگذاری می شود. . بنابراین ایجاد یک رمزگشای عمومی برای فایلهای ذخیره ساز ی غیرممکن است . کلید RC4 درون اجرایی رمز شده ذخیره می شود و بایستی از کپی غیرفشرده فایل استخراج شود. کد زیر شامل بخشی از تابع معکوس است که لاگ و داده پیکربندی را رمزگذاری / رمزگشایی میکند .

int rc4(BYTE* buffer, DWORD length)
{
BYTE rc4key[258]=
{
0x67, 0xE9, 0x30, 0x10, 0x3D, 0xC3, 0x63, 0xE2, 0x9C, 0x6F,0xCD, 0xCC, 0x4F, 0xD0, 0xCB, 0x04,0xD9, 0xB7, 0xA0, 0x2A, 0xA3, 0x13, 0xB4, 0x6A, 0x8D, 0xD8, 0x25,0x2E, 0x22, 0xB8, 0x3A, 0xB0,0x27, 0x35, 0xFC, 0x26, 0x2B, 0x08, 0x8B, 0x8A, 0xAA, 0x69,0x78, 0x8C, 0x84, 0x47, 0x56, 0xCF,0x5D, 0xF6, 0x62, 0xAD, 0x8E, 0xD3, 0x7A, 0x58, 0x03, 0x70,0x4A, 0x45, 0x4D, 0x88, 0x7D, 0x93,0x28, 0x4E, 0x07, 0x51, 0x41, 0xD2, 0x54, 0x20, 0x3E, 0xA6,0x1C, 0xA9, 0x49, 0x6C, 0x23, 0xB2,
0x86, 0x52, 0x32, 0xAE, 0xB3, 0x97, 0xBE, 0xBA, 0xDC, 0xC5 و ...... 

همچنین از ویژگیهای مهم این تروجان، حذف ردپای به جا گذاشته از خود در طی فرایند جاسازی خود در سیستم و انجام عملیات مخفی سازی و رمز گذاری بده. کد زیر یک بخشی از این فرایند بوده.

// Commands accepted over named pipe (pipecommand):
// 0x01-returns the bot version
// 0x02 -returns the name of the bot
// 0x03 -issues command to bot to remove all traces of itself from the system, a reboot is required
// for complete disinfection (handy!)
.....

زئوس تغییرات زیر را نیز در رجیستری ایجاد می کند که به بخشی از آن اشاره می شود.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Added: "Userinit" ="C:
\WINDOWS\system32\userinit.exe,C:
\WINDOWS\system32\sdra64.exe"
The following executes without Administrator rights:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Added: "Userinit" = "C:
\Documents andSettings\user\Application Data\sdra64.exe"

یکی دیگر از ویژگی های تروجان زئوس، سرقت اعتبارات است، ازجمله کلیدهای خصوصی با هوک کردن تابع PFXImportCertStore است. این تابع یک PFX BLOBرا وارد میکند و هندلی از ذخیره سازی است که شامل اعتبارات است و به هر کلید خصوصی مرتبط برمیگرداند و به محض اینکه تابع فوق با احراز هویت درست فراخوانی می شود، تابع را با هندلی به ذخیره سازی اعتبار و کلیدهای خصوصی در دسترس برمی گرداند که سپس زئوس در فایل user.dsذخیره می کند.نمونه تزریق

set_url https://www.xxx.com/evaluate GP
data_before
class='full_name' maxlength='40' /></div>
data_end
data_inject
<div class='text'><label>SSN:<span
class='req'>*<
/span></label><input type="text" name='ssn'
class='email' maxlength='11' /></div>
data_end
data_after
<div class='text' id='email_wrapper'>
data_end

همچنین این تروجان با سرقت نشست های بانکی، اقدام به تزریق داده های مورد نظر به صفحات HTML شده . این داده ها درون فایل webinjects.txtقرار دارند که بعداً درون فایل پیکربندی زئوس تعبیه شده است. و هنگامی که صفحه Company evaluation ملاقات میشود ، داده های اضافی به HTML تزریق میشود . تزریق HTMLتوسط هوک کردن توابع wininet زیر انجام میشود.

wininet.dll!HttpSendRequestW
wininet.dll!HttpSendRequestA
wininet.dll!HttpSendRequestExW
wininet.dll!HttpSendRequestExA
wininet.dll!InternetReadFile
wininet.dll!InternetReadFileExW
wininet.dll!InternetReadFileExA
wininet.dll!InternetQueryDataAvailable
wininet.dll!InternetCloseHandle
wininet.dll!HttpQueryInfoA
wininet.dll!HttpQueryInfoW

نمونه زئوس موجود در حال حاضر بر روی مرورگر INTERNET EXPLORER اعمال می شود که در نسخه بتای آن بر روی مرورگر فایرفاکس هم عملیاتی بوده.

روش‌های مقابله با اینگونه بدافزارها

روشهای پیشگیری بهترین روش، برای مقابله با ینگونه بدافزارها بوده.که در زیر به تعدادی از آنها اشاره می شود :

  • تهیه نسخه پشتیبان بصورت منظم و مدون در بازه های زمانی از اطلاعات کاری و حساس
  • نصب آنتی ویروس و حتما به روز رسانی آن در بازه های زمانی کوتاه
  • نصب آنتی اسپای در کنار آنتی ویروس و البته به روز رسانی
  • راه اندازی فایروال و پیکربندی مناسب
  • رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن
  • عدم کلیک بر روی لینک های نامعتبر
  • عدم باز کردن پیوست های ایمیل های ناشناس
  • نصب مرورگر مناسب و البته به روز رسانی مناسب
  • نصب نرم افزارهای مطمئن و از سایت های معتبر و در ضمن به روز رسانی آنها
  • عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن

منبع : مرکز ماهر

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند