(+84) 463.28.7979

Symantec: Zeus Botnet mới không còn phụ thuộc vào lệnh và máy chủ


Một biến thể mới của Trojan Zeus không còn dựa vào lệnh và máy chủ kiểm soát để được hướng dẫn từ kẻ tấn công.

Zeus Botnet

Ảnh minh hoạ (Nguồn: Internet)

Theo các nhà nghiên cứu bảo mật Symantec thì tội phạm mạng đang sử dụng một phiên bản sửa đổi mới của Zeus Trojan máy tính là nó không còn dựa vào máy chủ command and control (C&C) để nhận hướng dẫn.

Zeus là rất phổ biến trong thế giới tội phạm bởi vì nó có khả năng ăn cắp nhiều thông tin, tài liệu và thông tin đăng nhập từ các hệ thống bị lây nhiễm. Trong nhiều năm, nó là vũ khí cho sự lựa chọn của hầu hết những kẻ lừa đảo nhắm mục tiêu vào các hệ thống ngân hàng trực tuyến.

Mã nguồn của Trojan đã được đăng trên các diễn đàn Internet ngầm từ năm ngoái, mở đường cho việc sửa đổi và cải tiến nhiều của bên thứ ba.

Tháng 11 năm 2011, các nhà nghiên cứu bảo mật đã xác định được một biến thể của Zeus và nó đã thay đổi rất nhiều khả năng lệnh của kẻ tấn công chuyển tiếp từ máy chủ bị tổn hại đến một máy khác, theo kiểu peer to peer (P2P).

Đó là phiên bản của Trojan vẫn còn cần phải kết nối đến một máy chủ C&C để thả dữ liệu bị ăn cắp và nhận được hướng dẫn, nhưng sử dụng hệ thống P2P như một cơ chế dự phòng trong trường hợp máy chủ bị tắt.

Tuy nhiên, một biến thể mới phát hiện được bởi nhà cung cấp chống virus Symantec gần đây đã hoàn toàn loại bỏ sự cần thiết cho máy chủ C&C. “Tất cả các máy trong mạng botnet có thể hoạt động như một máy chủ C&C, trong khi không ai trong số chúng hoạt động thực sự như là một máy chủ C&C” Andrea Lelli nhà nghiên cứu bảo mật của Symantec cho biết trong một bài viết ở blog hôm thứ tư.

Bà nói: “Botnet bây giờ có khả năng tải lệnh, file cấu hình và thực thi từ Botnet khác – tất cả các máy tính bị lây nhiễm có khả năng cung cấp dữ liệu cho các chương trình khác”.

Để thực hiện được chức năng này, những người tạo ra biến thể Zeus này đã kết hợp các máy chủ Web nginx vào Trojan, cho phép tất cả các máy tính bị nhiễm để nhận và gửi dữ liệu qua giao thức HTTP.

Điều này làm cho botnet của họ vững vàng hơn để gỡ bỏ, bởi vì có không còn là một điểm duy nhất của việc thất bại cho các nhà nghiên cứu bảo mật nhắm mục tiêu và nó cũng ngăn chặn các botnet hệ thống theo dõi như ZeusTracker từ đó làm công việc của họ.

“Zeustracker là 1 trang web mà nó đã có thành công đáng kể trong việc theo dõi và xuất bản danh sách IP block của Zeus máy chủ C&C trên khắp thế giới”, Lelli nói thêm rằng Zeus chuyển đổi sang P2P cho các chức năng này có nghĩa rằng các trang web không còn sẽ có thể sản xuất chính xác danh sách IP của Zeus C&C.

Tổ chức dựa trên các danh sách như vậy để ngăn chặn lưu lượng Zeus truy cập ở cấp độ mạng để ngăn chặn phần mềm độc hại này từ dữ liệu nhạy cảm. Giám sát kết nối thử đến các địa chỉ IP C&C cũng giúp công ty xác định các máy tính bị xâm nhập trong mạng lưới của họ.

Các nhà nghiên cứu của Symantec đã thấy biến thể phần mềm độc hại Zeus phân phối mới như các chương trình chống virus giả mạo. Tuy nhiên, họ vẫn chưa tìm ra cách nó sẽ gửi các thông tin bị bắt trở lại cho những kẻ tấn công trong trường hợp không có máy chủ C&C.

Lelli nói: “Phân tích vẫn đang tiếp tục, vì vậy chúng tôi đang làm việc trên phát hiện này là một phần của mầu nhiệm để tìm ra một bức tranh đầy đủ”.

Theo Tin Công Nghệ

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>