ZeuS-botnetcode in handen van SpyEye-malware
Gepubliceerd: Woensdag 10 november 2010
Auteur: Chris Broesder
Het beruchte Zeus-botnet ligt flink onder vuur, maar de maker heeft zijn code gedoneerd aan de auteurs van SpyEye. Een combinatie kan de ultieme malware opleveren.
Beveiligingsbedrijf Krebs Security beweert aanwijzingen te hebben dat de auteur van het ZeuS-botnet, ene Slavik, zijn code heeft doorgegeven aan de auteur van de SpyEye-malware, die de nickname 'Harderman' draagt. De enige voorwaarde van Slavik zou geweest zijn dat Harderman de ondersteuning van de betaalde ZeuS toolkits zou overnemen.
Botmix
Beveiligingsexperts vrezen dat het rivaliserende SpyEye-botnet simpelweg het stokje zal overnemen van Zeus. Ook is het mogelijk dat de twee stuks malware worden gecombineerd. De twee hebben verschillende eigenschappen die elkaar goed aan zouden vullen om zo de ultieme malware te vormen.
Om de wereld te waarschuwen voor dit nieuwe gevaar heeft het Zwitserse beveiligingsblog abuse.ch naast de ZeuS Tracker de SpyEye Tracker gelanceerd. Alle command & control-servers voor dit botnet worden keurig op een wereldkaart geprojecteerd en zijn ook opgenomen in een blocklist.
C&c-server in Nederland
Volgens de huidige stand van zaken bevindt zich één c&c-server voor SpyEye in Nederland. Andere zijn gedetecteerd in onder meer Duitsland, Groot-Brittannië, Frankrijk, Tsjechië, Bosnië, Oekraïne, Rusland, China, Mexico en de Verenigde Staten.
Ondertussen ligt het Zeus-botnet flink onder vuur. Nu er allerlei arrestaties zijn verricht in landen als Engeland, Oekraïne, Amerika en Moldavië na diefstal van in totaal honderden miljoenen euro's, zijn er volgens abuse.ch geruchten dat het de auteur van het ZeuS-botnet, ene 'Slavik', te heet onder de voeten werd.
Trouw blijven of overstappen
Daarom zou hij gestopt zijn met het ontwikkelen en verkopen van zijn botnet. Waarschijnlijk zullen zijn klanten, de criminelen die het botnet gebruiken om online bankgegevens te stelen, gewoon doorgaan met het gebruik van de ZeuS-client. De verdere ontwikkeling daarvan zou nu stil staan, waardoor het gebruik uiteindelijk ook wel zal dalen.
Beveiligingsblog Abuse.ch ziet twee opties als gevolg hiervan. Ofwel SpyEye zal het stokje overnemen en wordt de nieuwe grote Trojan om bankgegevens te stelen, óf ZeuS blijft voorlopig het favoriete wapen van de cybercriminelen, ook al is het 'dood'. Het laatste wordt als de meest waarschijnlijke optie gezien, omdat het onlogisch zou zijn om nog eens te betalen voor een andere toolkit als ZeuS nog werkt.
Zeus zet honeypot in
Onlangs is al gebleken dat Zeus niet alleen zeer complexe malware is wat betreft de eigen malafide werking. Het botnet is ook voorzien van valstrikken en omleidingen om security-onderzoekers om de tuin te leiden die Zeus willen ontrafelen en ontmantelen. Hierdoor zijn de Zeus-gebruikende criminelen minder snel op te sporen.
Een dergelijke honeypot-techniek is normaal gesproken een valstrik die juist beveiligingsonderzoekers gebruiken om malwaremakers te strikken. Daarbij wordt een computer met opzet blootgesteld aan aanvallen van buitenaf om malware binnen te laten zodat de werking daarvan geanalyseerd kan worden. Uiteraard staan er geen compromitterende bestanden op de lokcomputer en staat de machine los van de rest van het bedrijfsnetwerk.
