Dr. Zeus: Bot v klobouku
Agent Zbot průběžně kontroluje navštívené webové stránky z ohrožení stroj zachytí WinAPI funkce. Pokud připojení SSL-li se na zdroje, které obsahují data o zájmu, provede následující akce:
- Řetězec dotazu parsování šablon pro uživatelské jméno a heslo = * = *.
- Řetězec dotazu rozebrat pro template / bsi.dll /? T =
Pokud budou úspěšní šablony zahájit řízení pro zaznamenávání stisků kláves a klepnutí myší, stejně jako postupů pro snímání screenshotů (další informace je zapsán do samostatného souboru a poslal ke škodlivému serveru).
Nicméně, jako toto chování bylo pozorováno v jiných verzích Zeus. Opravdu zajímavý objev v tomto případě je spojeno se způsobem, který tyto vzorky hledat logické zařízení připojená k infikovaného počítače. Zbot hledá soubor, který obvykle obsahuje klávesy pro oprávněné přihlášení klienta používá v on-line bankovnictví a je-li soubor nalezen, bude kopie zaslána na server, spolu s poměrně málo jiných věcí, které nechcete trestní vědět o:
* Informace o připojených zařízení a čipových karet, data
* Klávesové zkratky mouseclick a informací, nahrané a převedeny na serveru v samostatném souboru
* Cookies
Popis podporu čipových karet Zeus modul
Funkce Zeus byl aktualizován s novým modulem, který může řídit tok informací mezi smart karty a různé speciální čtecí zařízení. Vzhledem k tomu, že čipové karty podporují subsystému architektury v operačním systému Windows má poměrně složitou strukturu, což znamená, víceúrovňový systém řidičů, modul je pečlivě a bohatě strukturované (obr. 1).
Obrázek. 1 - Podpora karet SmartCard subsystému architektury
Tento modul, který pracuje na SmartCard úrovni API, je založen na interakci s Resource Manager. Ta může zvládnout řízení přístupu k různým čtecí zařízení a smart-karty pracující současně. Ve skutečnosti, sledování a řízení připojených smart-karet by mohla být provedena dvěma způsoby:
• kontrola a přihlášení aktuální stav zařízení na čtení;
• podle pachatel aktivně manipulovat procesu.
Pořízení smart-karet informačního systému
Tento modul určuje, zda speciální čtečky je přístroj připojen, nebo ne. To také kontroluje a zaznamenává změny dokončených, uchovávání těchto informací ve struktuře SCARD_READERSTATE. Tato struktura obsahuje název zařízení, aktuální program a hardware stát, a karta atributy.
Tato struktura je uložena v paměti procesu na vyrovnání náhodný, a je pak poslán přes síť kanál mezi attacker'scomputer a infikovaný počítač.
V původní formě to vypadá takto:
Dálkové ovládání zařízení na čtení
Na základě shromážděných informací, útočník je schopen generovat sekvence čipové karty-činností, které je poslán přes síť kanálů, jak již bylo popsáno. Tato sekvence má být uloženy a zpracovány na infikovaný počítač. To znamená, že je prvkem interpretace funkcí knihovny Winscard.dll: malware převádí sekvence na odpovídající sekvenci volání API.
* SCardGetStatusChangeA
* SCardStatusA
* SCardDisconnect
* SCardControl
* SCardEstablishContext
* SCardListReadersA
* SCardListReadersA
* SCardConnectA
* SCardBeginTransaction
* SCardEndTransaction
* SCardTransmit
* SCardGetAttrib
Toto je schematicky znázorněno na obr. 2.
Obrázek 2: Modul funkčnost na SmartCard úrovni API
Kód ve své původní podobě vypadá takto.
Použití základních funkcí SmartCard API, může útočník vybrat vhodný čtenáře zařízení a připojení k určitému smart-karet, on může číst a zapisovat data na smart-karty, a on může používat některé speciální funkce poskytuje smart-karty, Například, zpracování vstupní heslo nebo generování sekvence náhodných znaků.
Výsledkem zpracování je uložena a zaslána pachatel za účelem opravy escape-sekvence. Schematicky taková interakce může být, jak je znázorněno na následujícím obrázku.
Zdroj: ESET Threat Blog
