
ZeuS botnet te kapen via PHP-lek
Door een fout in de webinterface van de controleservers van het botnet ZeuS kunnen hackers het systeem overnemen. Aanvallers kunnen daarmee controle krijgen over het hele botnet.
Door een fout in de webinterface van de controleservers van het botnet ZeuS kunnen hackers het systeem overnemen. Aanvallers kunnen daarmee controle krijgen over het hele botnet.

ZeuS botnet te kapen via PHP-lek
Door een fout in de webinterface van de controleservers van het botnet ZeuS kunnen hackers het systeem overnemen. Aanvallers kunnen daarmee controle krijgen over het hele botnet.
Veiligheidsspecialist Billy Rios heeft ontdekt dat de PHP webinterface van het ZeuS-controlesysteem kwetsbaar is. Hackers kunnen door de kwetsbaarheid het systeem overnemen en daardoor controle krijgen over het hele botnet dat onder andere bankgegevens steelt. Ook is het mogelijk om de data die door het botnet gestolen is te lezen, of juist te verwijderen.
500 dollar
Rios ontdekte de fout terwijl hij de ZeuS toolkit analyseerde. Met die toolkit, die voor 500 dollar te koop is, is het mogelijk om een eigen ZeuS-botnet op te zetten. Toen de beveiligingspecialist een lokaal botnet op had gezet merkte hij dat er een bug in het controlesysteem zat: Het script om logbestanden te uploaden checkt niet op verboden extensies. Hackers kunnen op die manier een eigen PHP-script naar de server sturen en uitvoeren.
RAM-geheugen
Voordat hij het script kon uploaden moest Rios wel eerst een RC4-sleutel om de communicatie te versleutelen vinden. Deze sleutel wordt aan iedere individuele bot toegekend, maar kan uitgelezen worden uit het RAM-geheugen van een besmette computer. Rios heeft een proof of concept gepubliceerd waarmee het mogelijk is om de controleserver te benaderen en er een backdoor op te installeren.
Omdat de ZeuS toolkit de basis is van verschillende andere trojans, zijn controleservers daarvan waarschijnlijk ook kwetsbaar voor dit gat. Volgens Rios is de bug alleen aanwezig in versies van de toolkit die vóór januari van dit jaar geleverd zijn.
1 miljoen dollar
Het Trojaanse paard ZeuS waart al enige tijd rond over internet en wordt telkens bijgewerkt door de makers. Het virus infecteert Windows en probeert vervolgens via keylogging bankgegevens of logins voor webwinkels te stelen. Omdat de toolkit voor ZeuS te koop is, spoken op internet veel trojans rond die met die toolkit gemaakt zijn. In augustus zou er in Groot Brittannië al 1 miljoen dollar gestolen zijn door de bot.
Is dat zo? Responsible disclosure schrijft toch voor dat je het eerst bij de maker van de software meldt?
Overigens klopt het artikel niet helemaal; er zou volgens het Webwereld-artikel geen bestandsextensiecontrole plaatsvinden, terwijl dat wel zo is. Het is alleen eenvoudig te omzeilen.
Er is geen sprake van één botnet, er is sprake van meerdere botnets die met de tool zijn gecreëerd. De tool is kwetsbaar maar om te weten welke server je moet hacken dien je besmette computers te hebben. Ik neem aan dat Interpol danwel MS deze gegevens ook al lang van de ontdekker hebben gekregen.
Om er daadwerkelijk wat aan te hebben zal hij eerste de RC4 moeten hebben, dat kan evt via een honeypot contructie maar dan heeft hij maar een variant en hij zal zelf wetten moeten breken om het botnet lam te leggen.
De ontdekker van het lek had het ook kunnen gebruiken om het botnet uit te schakelen of om het verkeer om te leiden of te cc-en naar Interpol. Of zijn kennis aan Interpol overdragen zonder te gaan kicken op zijn ontdekking.
Het moet toch niet gekker worden. Waar moet het heen met de wereld als zelfs botnetten niet meer veilig zijn. :D
Laten we hopen dat dit niet lang duurt, want een botnet in handen van criminelen is erg, maar een botnet in handen van een scriptkiddie kan rampzalig zijn.
Dit is weer iets anders dan een windows lek waar ZeuS op in kan springen.
Ik vraag me af wanneer de grote partijen Als zijnde Microsoft hier op springen.
Als de jongens in Redmond slim zijn zitten ze er nu al vol bovenop.
Reageer
Preview