一些新的能力正在增强ZeuS僵尸网络。犯罪分子利用这个僵尸网络在网上银行、自动清算中心网络和工资管理系统上窃取金融证书和执行非授权的代码。这个最新版本的犯罪工具(起始售价大约3000美元)提供了一个1万美元的模块,能够让攻击者完全控制被攻破的计算机。
SecureWorks本星期发表了有关ZeuS僵尸网络的深入的报告。SecureWorks威胁情报经理Don Jackson说,Zeus v.1.3.4.x(作者和拥有者一直在改变代码,据说这个作者是一个东欧人)在这个僵尸网络中集成了一个强大的远程控制功能,因此攻击者现在能够完全控制用户的电脑。
Jackson说,ZeuS僵尸网络的这个新功能为它提供了GoToMyPC等合法产品中才有的远程控制能力。SecureWorks把这个能力称作“total presence proxy”(完全存在代理)。这个功能对于犯罪分子是非常有用的。仅仅这个ZeuS僵尸网络的VNC模块就值1万美元。
基于Windows的ZeuS木马软件(在被攻破的Windows计算机中占大约5万字节空间)旨在通过受害者的计算机窃取北美和英国银行系统的账户。犯罪分子也许远在其它洲,通过一个精细的指挥控制系统指挥非授权的资金转拨。
Jackson说,ZeuS至少是在2007年就出现了,原来是一个间谍软件木马程序。这个软件卖得很好并且随着各种僵尸网络的传播而流行起来。
一个名为UpLevel的组织原来曾合作研究ZeuS的源代码。但是目前,研究人员怀疑ZeuS只有一个作者。这个人目前采用基于硬件的版权保护机制严密地控制着ZeuS 1.3和以后版本的软件。
SecureWorks研究人员Kevin Stevens说,ZeuS基于硬件的版权保护机制是基于一种类似于WinLicense的硬件令牌方式,解锁ZeuS Builder工具代码需要考虑许多硬件细节因素。
老版本的ZeuS是免费提供的。但是,目前版本的ZeuS及其模块自从去年年底推出以来价格并不便宜。据SecureWorks称,在地下网络犯罪市场,诈骗分子通常经过Western Union或者Web Money支付犯罪软件的货款。
据SecureWorks本星期发表的一篇报告称,基本的ZeuS Builder工具价格为3000至4000美元,“回连”模块再加1500美元。这个模块可以把被感染的计算机连接回来,以便利用那台计算机做金融交易。这意味着设法跟踪转账者的银行永远只能回溯到账户持有者的计算机。为了破解Windows 7或Vista计算机,犯罪分子必须额外支付2000美元,否则只能攻击Windows XP系统。
一个“火狐浏览器表格抓取器”需要再加2000美元。这个工具能够让犯罪分子获取使用火狐浏览器的用户在信息栏中输入的数据,如银行账户的用户名和口令等。一个“Jabber即时消息聊天通知器”需要再加500美元。这个工具能够让攻击者立即获得窃取的数据,以便在受害者使用银行随机提供的令牌登录之后进入受害者的账户。而VNC模块能够让攻击者绕过大额交易需要的任何智能卡,售价为1万美元。
Jackson指出,这个最新版本的软件还设计用于突破银行系统使用的双因素身份识别和其它身份识别方式等最新的防御措施,专门针对10万美元以上的交易。
Jackson说,Zeus能自动检测与网上银行服务有关的顶级黄金客户目标。信号被传递给僵尸网络的控制者,一个高度自动化的交易就能够把资金转到攻击者希望的账户。
当大笔资金转到银行不能索回的账户的时候,有许多企业投诉非授权的自动清算中心转款或者自动工资管理系统中增加了假冒的员工。
Jackson说,最新版本的ZeuS绕过了目前银行使用的大多数高级在线身份识别机制,也许只有至少需要两人批准的交易流程除外。这种两人批准流程常常是从经过这种培训的人员中随机选择两人执行交易。他们采取人工授权的方式进行交易。他说,这是一种军备竞赛。
即将推出的ZeuS 1.4版目前仍是测试版,不过,这个软件承诺有更强的的功能。例如,它的“Web Injects for Firefox”(火狐Web注入攻击)能力能够让攻击者在火狐浏览器显示一个窗口,在银行交易过程中假冒银行要求提供信息引诱用户输入更多的敏感信息。 ZeuS木马程序还将进行多态加密以便重新加密自己,每一次都以独特的方式出现,从而使杀毒软件很难检测到它。