211service.com
Opkomst van het point-and-click-botnet
In 2005 ontwikkelde een Russische hackergroep, bekend als UpLevel, Zeus, een point-and-click-programma voor het creëren en besturen van een netwerk van gecompromitteerde computersystemen, ook wel bekend als een botnet. Vijf jaar van ontwikkeling later is de nieuwste versie van deze software, die gratis kan worden gedownload en weinig technische vaardigheden vereist om te werken, een van de populairste botnetplatforms voor spammers, fraudeurs en mensen die handelen in gestolen persoonlijke informatie.

Geld grijpen: De Zeus-software maakt een wachtwoord-stealer die zich richt op inloggegevens voor onder meer Citibank, WebMoney en Wells Fargo.
Vorige week heeft het beveiligingsbedrijf NetWitness , gevestigd in Herndon, VA, heeft een rapport uitgebracht waarin de nadruk wordt gelegd op het soort schade dat de software kan aanrichten. Het documenteert een Zeus-botnet dat bijna 75.000 computers beheerde in meer dan 2.400 organisaties, waaronder de drugsproducent Merck, de maker van netwerkapparatuur Juniper Networks en de Hollywood-studio Paramount Pictures. Gedurende vier weken werd de software gebruikt om meer dan 68.000 inloggegevens te stelen, waaronder duizenden Facebook-log-ins en Yahoo e-mail logins.
Ze hadden gecompromitteerde systemen binnen zowel bedrijven als overheidsinstanties, zegt Alex Cox, hoofdanalist bij NetWitness.
Een onderzoek uitgevoerd door een ander beveiligingsbedrijf, gevestigd in Atlanta Damballa –vond dat Zeus-gestuurde programma's in 2009 de op één na meest voorkomende waren binnen bedrijfsnetwerken. Damballa volgde meer dan 200 op Zeus gebaseerde botnets in bedrijfsnetwerken. Het grootste afzonderlijke botnet dat door het Zeus-platform werd beheerd, bestond uit 600.000 gecompromitteerde computers.
De Zeus-software is minder belangrijk voor zijn veroveringen dan voor zijn hoge aanzien bij cybercriminelen. Zeus is ongelooflijk populair bij mensen die willen sleutelen en hun eigen bedrijfje willen beginnen, als je wilt, zegt Gunter Ollman, vice-president onderzoek bij Damballa.
Een groep van vier of vijf ontwikkelaars begon in 2005 aan Zeus te werken. Het jaar daarop brachten ze de eerste versie van het programma uit, een standaard trojan die is ontworpen om zich op een geïnfecteerd systeem te verbergen en informatie te stelen. In 2007 kwam de groep met een meer modulaire versie, waardoor andere underground-ontwikkelaars plug-ins konden maken om aan de functionaliteit toe te voegen.
Het nieuwste Zeus-platform stelt gebruikers in staat om aangepaste kwaadaardige software te bouwen om doelsystemen te infecteren, een wijdverbreid netwerk van gecompromitteerde machines te beheren en het resulterende botnet te gebruiken voor illegale winst. Het bouwpakket bevat een programma voor het bouwen van de botsoftware en webscripts voor het maken en hosten van een centrale command-and-control-server.
Onafhankelijke ontwikkelaars hebben compatibele exploitpacks gemaakt die de systemen van slachtoffers kunnen infecteren met behulp van kwetsbaarheden in het besturingssysteem of de browser. Andere ontwikkelaars richten zich op het maken van plug-insoftware om potentiële cybercriminelen te helpen geld te verdienen met een Zeus-botnet. Sommige add-ons zijn gericht op phishing-aanvallen en leveren de afbeeldingen en webpagina's die bijvoorbeeld nodig zijn om frauduleuze banksites te maken. Andere add-ons geven botoperators de tools om spamcampagnes te maken. Er is een hele huisindustrie bezig met het maken van add-ons voor Zeus, zegt Don Jackson, een beveiligingsonderzoeker met de Tegenbedreigingseenheid bij SecureWorks, een bedrijf gevestigd in Atlanta.
De beschikbaarheid van de broncode voor Zeus heeft veel ontwikkelaars aangetrokken, zegt Jackson. Online onverlaten die hun eigen botnet willen besturen, beginnen met Zeus, omdat het eenvoudig te gebruiken is, zegt hij, terwijl de add-ons en extensies meer geavanceerde gebruikers tevreden stellen. Het is heel gemakkelijk om direct uit de poort te gebruiken, zegt Jackson. Maar wanneer u de geavanceerde functionaliteit toevoegt die duizenden dollars kost, wordt het een hulpmiddel voor geavanceerde operators.
Zelfs de basiskits van Zeus bevatten verduisteringstechnieken om detectie door antivirussoftware en andere beveiligingsmaatregelen te helpen ontsnappen. In één experiment ontdekte consultant Alex Heid van Information Security Services dat slechts ongeveer de helft van de antivirussoftware een bekende Zeus-payload detecteerde. Na het toepassen van enkele eenvoudige technieken om de code te maskeren, daalde het detectiepercentage nog verder, tot 10 procent. De cybercriminaliteitstechnologieën vorderen sneller dan de beveiligingstechnologieën, zegt Heid.
Zodra Zeus een systeem heeft gecompromitteerd, geeft het de gebruiker geen teken dat het er is, aldus Jackson. Hoe ziet Zeus eruit als het uw computer infecteert? Nou, staar nu naar je computer, en zo ziet het eruit, zegt Jackson. Het is ontworpen om zijn werk te doen en het met succes te doen en het stil te doen.
Hoewel zowel Damballa als NetWitness technologieën en diensten verkopen voor het opsporen van compromissen op bedrijfsnetwerken, leveren ze geen software voor eindgebruikers.
De meeste bedrijven waarmee we werken, hebben een groot aantal gebruikers, dus ze geven eigenlijk op met het verdedigen van hun computers, zegt Ollmann. Je doet de beste poging met antivirus en firewalls, maar ze accepteren dat een bepaald percentage van hun systemen geïnfecteerd zal raken, dus richten ze zich op het detecteren en opnieuw opbouwen van de (gecompromitteerde) systemen in plaats van zich te verdedigen tegen alle bedreigingen.
Cox voegt eraan toe dat focussen op de communicatie tussen geïnfecteerde systemen en een command-and-control-server meestal de beste manier is om infecties op te vangen. In de huidige dreigingsomgeving is het echt belangrijk om te begrijpen hoe normaliteit eruitziet op uw netwerk, zodat u afwijkingen kunt opsporen. Vertrouw niet alleen uw bestaande beveiligingscontroles en zorg dat uw netwerk in de gaten wordt gehouden.