211service.com
Rise of the Peka-och-klicka Botnet
År 2005 utvecklade en rysk hackergrupp känd som UpLevel Zeus, ett peka-och-klicka-program för att skapa och kontrollera ett nätverk av komprometterade datorsystem, även känt som ett botnät. Fem år av utveckling senare är den senaste versionen av denna programvara, som kan laddas ner gratis och som kräver mycket lite teknisk skicklighet för att fungera, en av de mest populära botnätplattformarna för spammare, bedragare och personer som handlar med stulen personlig information.

Pengar att få tag på: Zeus-mjukvaran skapar en lösenordsstöldare som riktar inloggningsuppgifter för Citibank, WebMoney och Wells Fargo, bland andra finansiella företag.
Förra veckan, säkerhetsfirman NetWitness , baserat i Herndon, VA, släppte en rapport som belyser vilken typ av förödelse programvaran kan orsaka. Den dokumenterar ett Zeus-botnät som kontrollerade nästan 75 000 datorer i mer än 2 400 organisationer, inklusive läkemedelstillverkaren Merck, nätverksutrustningstillverkaren Juniper Networks och Hollywood-studion Paramount Pictures. Under fyra veckor användes programvaran för att stjäla mer än 68 000 inloggningsuppgifter, inklusive tusentals Facebook-inloggningar och Yahoos e-postinloggningar.
De hade äventyrat system inom både företag och statliga myndigheter, säger Alex Cox, huvudanalytiker på NetWitness.
En undersökning gjord av en annan säkerhetsfirma – Atlanta-baserad Damballa –fann Zeus-kontrollerade program vara de näst vanligaste inom företagsnätverk 2009. Damballa spårade mer än 200 Zeus-baserade botnät i företagsnätverk. Det största enskilda botnätet som kontrollerades med Zeus-plattformen bestod av 600 000 komprometterade datorer.
Zeus-mjukvaran är mindre viktig för dess erövringar än för dess höga anseende bland cyberbrottslingar. Zeus är otroligt populär bland människor som vill pyssla och starta ett eget litet företag, om man så vill, säger Gunter Ollman, forskningschef för Damballa.
En grupp på fyra eller fem utvecklare började arbeta på Zeus 2005. Året därpå släppte de den första versionen av programmet, en grundläggande trojan designad för att gömma sig på ett infekterat system och stjäla information. 2007 kom gruppen ut med en mer modulär version, som gjorde det möjligt för andra underjordiska utvecklare att skapa plug-ins för att lägga till dess funktionalitet.
Den senaste Zeus-plattformen tillåter användare att bygga skräddarsydd skadlig programvara för att infektera målsystem, hantera ett avlägset nätverk av komprometterade maskiner och använda det resulterande botnätet för olaglig vinning. Byggsatsen innehåller ett program för att bygga bot-mjukvaran och webbskript för att skapa och vara värd för en central kommando-och-kontrollserver.
Oberoende utvecklare har skapat kompatibla exploateringspaket som kan infektera offrens system med hjälp av sårbarheter i operativsystemet eller webbläsaren. Andra utvecklare fokuserar på att skapa plugin-mjukvara för att hjälpa potentiella cyberbrottslingar att tjäna pengar på ett Zeus-botnät. Vissa tillägg fokuserar på nätfiskeattacker – att leverera de bilder och webbsidor som behövs för att skapa bedrägliga banksajter, till exempel. Andra tillägg ger botoperatörer verktygen för att skapa spamkampanjer. Det finns en hel stugindustri kring att skapa tillägg för Zeus, säger Don Jackson, säkerhetsforskare med Mothotenhet på SecureWorks, ett företag baserat i Atlanta.
Tillgängligheten av källkoden för Zeus har lockat många utvecklare, säger Jackson. Online miscreants som vill kontrollera sitt eget botnät börjar med Zeus, eftersom det är enkelt att använda, säger han, medan tilläggen och tilläggen tillfredsställer mer sofistikerade användare. Det är väldigt lätt att använda direkt utanför porten, säger Jackson. Men när du lägger till den avancerade funktionaliteten som kostar tusentals dollar, då blir det ett verktyg för avancerade operatörer.
Till och med de grundläggande Zeus-paketen inkluderar fördunklingstekniker för att undvika upptäckt av antivirusprogram och andra säkerhetsåtgärder. I ett experiment fann konsult Alex Heid från Information Security Services att endast ungefär hälften av antivirusprogramvaran upptäckte en känd Zeus nyttolast. Efter att ha använt några enkla tekniker för att maskera koden sjönk detekteringsgraden ytterligare, till 10 procent. Teknikerna för cyberbrott utvecklas snabbare än säkerhetsteknikerna, säger Heid.
När Zeus väl har kompromissat med ett system ger det användaren inga tecken på att det finns där, enligt Jackson. Hur ser Zeus ut när den infekterar din dator? Tja, stirra på din dator nu, och det är så det ser ut, säger Jackson. Den är designad för att göra sitt jobb och göra det framgångsrikt och göra det tyst.
Även om både Damballa och NetWitness säljer teknologier och tjänster för att upptäcka kompromisser på företagsnätverk, tillhandahåller de ingen programvara för slutanvändare.
De flesta företag som vi arbetar med har ett stort antal användare, så de ger i princip upp att försvara sina datorer, säger Ollmann. Du gör det bästa försöket med antivirus och brandväggar, men de accepterar att en viss procentandel av deras system kommer att bli infekterade, så de fokuserar på att upptäcka och återuppbygga de (komprometterade) systemen snarare än att försvara sig mot alla hot.
Cox tillägger att fokus på kommunikationen mellan infekterade system och en kommando-och-kontrollserver vanligtvis är det bästa sättet att fånga infektioner. Att förstå hur normalitet ser ut i ditt nätverk så att du kan lokalisera avvikelser är det som verkligen är viktigt i den nuvarande hotmiljön, säger han. Lita inte bara på dina befintliga säkerhetskontroller och se ditt nätverk.