Cybercriminelen passen een soort honeypot-tactiek toe om beveiligingsexperts om de tuin te leiden. De honeypot techniek is normaal gesproken een valstrik waarbij beveiligingsonderzoekers een computer blootstellen aan aanvallen van buitenaf. Malware van ZeuS botnets kan zo de computer binnendringen, zodat de onderzoekers kunnen zien wat het precies doet en daarvan kunnen leren. Uiteraard staan er geen compromitterende bestanden op de computer en staat de PC los van de rest van het bedrijfsnetwerk.

Snode Nep-interface

Nu hebben een aantal botnet herders echter een interface ontwikkeld die lijkt op de admin console van het botnet. Deze admin console toont normaal gesproken de frequentie van de aanvallen, het aantal infecties en er kan nieuwe bot malware mee worden geüpload.

De beveiligingsexperts krijgen dus als het ware een koekje van eigen deeg en worden zoals bij de honeypot techniek verleid te gaan kijken naar de admin console om meer te weten te komen over het botnet en de beheerders, maar krijgen dan nep informatie. Volgens beveiligingsonderzoeker Eddy Willems van beveiligingsbedrijf G DATA gebeurt dit tegenwoordig steeds vaker. Een voorbeeld van de nep-console is hier te vinden.

Een slimme 'extra' feature van de nep-console is dat het standaard of simpele logingegevens accepteert. Zo komen de beveiligingsonderzoekers dus in de console, in de veronderstelling dat ze de login gegevens gekraakt hebben. Ook is de interface kwetsbaar voor een simpele SQL-injectie techniek, om de beveiligingsexperts meer kans te geven om in de console te komen.

Het verband

De implementatie van de nep-honeypot tactiek in de ZeuS malware is waarschijnlijk allerminst toeval. Er zijn de laatste maanden veel echte ZeuS interfaces gevonden, waarmee onderzoekers het botnet goed kunnen bestrijden en soms kunnen traceren waar de cybercriminelen vandaan komen. Toch is het moeilijk te zeggen of dit laatste aspect voor de eveneens recente arrestatiegolf heeft gezorgd van ZeuS botnet beheerders in het Verenigd Koninkrijk, de Verenigde Staten en Oekraïne.

Het lijkt voor de hand te liggen dat de boeven die ZeuS gebruiken om online bankgegevens te stelen wel geïnteresseerd zouden zijn in het op deze manier tegenwerken van de onderzoekers.

Bron: Techworld