zurück zum Artikel

Zeus-Trojaner: Ein Hacker dreht den Spieß um

Was Sicherheitsforscher so machen, wenn sie Langeweile haben? Zum Beispiel einen Zeus-Trojaner auseinander nehmen und den Botnetz-Master mit seiner eigenen Webcam fotografieren.

Raashid Bhat hat den im Anhang einer Mail enthaltenen Zeus-Trojaner analysiert und die gewonnenen Informationen konsequent genutzt. So kaperte er nicht nur den Kontroll-Server des Bot-Netzes sondern präsentiert in seiner Analyse [1] auch noch ein Foto, das durchaus den Botnetz-Master vor seinem Rechner zeigen könnte.

In der an die E-Mail angehängten ZIP-Datei mit einem angeblichen Bild fand sich – wie kaum anders zu erwarten – eine EXE-Datei namens image.scr. Der Debugger und Dissassembler IDA Pro verriet schnell, dass es sich um eine Variante des Online-Banking-Trojaners Zeus handelte. Dessen weitere Analyse bescherte dem Forscher die IP-Adresse des Command&Control-Servers (C2C) und einen RC4-Schlüssel für die Kommunikation mit selbigem.

Ein Botnetz-Master bei der Arbeit?

Ein Botnetz-Master bei der Arbeit?

(Bild: Raashid Bhat)

Über eine bekannte Sicherheitslücke bestimmter Zeus-Versionen [2] – auch Kriminelle spielen offenbar keine Updates ein – konnte Bhat in der C2C-Web-Applikation eigenen PHP-Code einschleusen und ausführen. Die Lücke beruht darauf, dass der infizierte Client Dateien auf den C2C-Server hochlädt, was sich ausnutzen lässt, eine PHP-Datei dort zu platzieren.

Im weiteren wird die Beschreibung etwas vage. Wenn man es drauf anlegt, könnte man demnach dem Botnetz-Master bei seinem nächsten Login auf den C&C-Server einen speziellen Metasploit-Exploit unterjubeln. Wenn man das etwa mit dem Meterpreter-Befehl webcam_snap [3] tun würde, landete beim nächsten Login des Botnetz-Masters ein Schnappschuss von dessen Webcam auf dem PC des vermeintlichen Opfers. Ob das darunter abgebildete Konterfei tatsächlich einer solchen Aktion entsprang, lässt Bhat jedoch wohlweislich offen. (ju [4])


URL dieses Artikels:
http://www.heise.de/-2289273

Links in diesem Artikel:
[1] http://int0xcc.svbtle.com/how-to-bypass-zeus-trojans-self-protection-mechanism
[2] http://xs-sniper.com/blog/2010/09/27/turning-the-tables/
[3] http://www.offensive-security.com/metasploit-unleashed/Meterpreter_Basics#webcam_snap
[4] mailto:ju@ct.de