Genomgång av ZeuS 2.0.8.9 Control Panel

0 kommentarer

Nyligen läkte källkoden för ZeuS malware ut och jag lovade att jag skulle ta en närmare titt på den. Denna analys består av flera inlägg. Jag börjar med webbgränssnittet (CP, Kontrollpanelen) och gör detta på en virtuell miljö som är skapad just för denna typ av uppgifter. Zeus är en känd skadlig programvara och det kan gå fruktansvärt fel om du inte är försiktig. Du har härmed blivit varnad!

Först måste du installera gränssnittet. Detta gör du genom att gå till /install/ katalogen och fylla i formuläret.

image

Efter att ha fyllt i formuläret och tryckt på knappen “Install” får du följande resultat:

image

För att logga in på ZeuS konsolen behöver du gå till: /cp.php?m=login och skriva in dina tidigare valda loginuppgifter. Efter inloggning finner du dig stirrandes på följande sida:

image

Det finns inte mycket annat att se i ZeuS kontrollpanel i detta skede eftersom vi inte har några aktiva bot:ar anslutna till kontrollpanelen ännu. Nästa steg är att infektera några Windows-maskiner med den skadliga koden och få dem att ansluta till kontrollpanelen, något som jag ska försöka täcka in i senare blogginlägg.

/Michael Boman, Säkerhetsexpert inom sårbarheter och skadlig kod

Läckor i den digitala undre världen

0 kommentarer

image De senaste dagarna har det hänt en hel del intressanta saker inom den digitala undre världen. Först har källkoden för Zeus läckt ut och finns att ladda ner från flertalet sajter på nätet (jag kommer att gå lite djupare in på Zeus vid ett senare tillfälle). Sedan har även Stuxnet-masken blivit disassemblerad och konverterad till C++ kod (kallad MRxNet) av Amr Thabet. Detta betyder att man kan titta på hur masken fungerar även ifall man inte är en über-hacker som läser x86-assembler lika lätt som en barnbok.

Vad betyder detta för oss? Till att börja med så kan man tänka sig att varianter av Stuxnet dyker upp som används av mindre begåvade kriminella än skaparna av Stuxnet-masken. Själva sårbarheterna som utnyttjades kommer med största sannolikhet att ändras. Tekniken för spridning däremot lämpar sig bra för spear-phishing attacker. Som vanligt så är det de vanliga skydden som gäller: öppna inte oväntade bilagor i mejl, ladda bara ner filer från sajter som du litar på, se till att ha något antivirus-program installerat, samt att detta, operativsystem och annan programmvara är uppdaterade.

Jag tror att kortsiktigt kommer utvecklarna av Zeus få svårigheter att motivera priset på USD$10’000 för en installation. Det lär även bli rätt vanligt med Zeus command & control servrar. Långsiktigt lär Zeus (eller dess efterföljare) vidareutvecklas och den nyss läckta versionen (2.x) bli gammalmodig och falla ur bruk.

Naturligtvis har jag införskaffat mig en kopia av både Zeus och MRxNet för analys.

Vad tror ni kommer hända nu när Zeus och Stuxnet har blivit allmänt tillgängligt? Var vänlig använd kommentarsfunktionen på bloggen och skicka in dina synpunkter.

/Michael Boman

BeEF (Browser Exploitation Framework)

0 kommentarer

BeEF 0.4.2.5 alpha släpptes tidigt i morse och jag tänkte gå igenom vad BeEF är och vad det kan användas till. BeEF är ett exploit-ramverk som sköter mycket av det tunga arbetet som är associerat med att skriva Cross-Site Scripting (XSS) exploits som är centralt styrda. BeEF är från och med version 0.4 skrivit I ruby (tidigare versioner var skrivna I PHP).

Jag brukar använda mig utav BeEF när man behöver demonstrera att en Cross-Site Scripting sårbarhet faktiskt är något farligt och behöver åtgärdas. Jag använder mig mycket utav alert(1) när jag letar efter dom, för det är väldigt visuellt när man hittar hittar sårbarheten. Däremot så verkar inte en alert() ruta så farlig när man visar den för utvecklare eller systemansvarig:

image

Med hjälp av BeEF så blir situationen lite annan. BeEF har många attacker redan inbygda och kan laddas ner gratis från internet. Man behöver inte vara någon über-hacker för att kunna utnyttja dom och konsekvenserna kan bli förödande.

Installationen är lätt (åtminstånde på Linux och OSX, Windows ej testat). Efter att man har laddat ner källkoden kör man (från “beef” katalogen):

ruby install

Detta kommando kontrollerar att alla moduler som krävs är installerade på systemet. Om någon av modulerna saknas kan du antingen låta installationsprogrammet installera dom åt dig eller lista vilka moduler som saknas och låta dig installera dessa.

När alla moduler som krävs att köra BeEF är installerade så startar man BeEF:

ruby beef

När servern har startat upp så styr man webbläsaren till BeEF adressen som står på skärmen (t.ex. http://127.0.0.1:3000/). Efter man har loggat in (och kopplat in några offer till systemet) ser man följande:

image

På vänster sida ser man vilka webbläsare är eller har varit ihopkopplade med BeEF servern. Man får även information om vilken webbläsare och version samt operativsystem som körs av offrets system (via ikonerna). Markerar man IP-adressen så får man ytterligare information av det inkopplade systemet:

image

Väljer man “Commands” tabben så får man en lista på olika (inbyggda) kommandon (attacker) som finns att tillgå. Innan vi går in på vilka attacker som finns så kan man titta lite snabbt hur dom är klassifierade:

image

I första hand så är kommandona klassifierade hurvida man vet att dom fungerar mot den valda plattformen och om användaren kommer att märka av något när dom körs.

Sedan är kommandona indelade I olika kategorier:

image

Och där under finns själva kommandorna. Jag kommer inte att räkna upp alla kommandon som finns eftersom det kommer fler och fler vid varje uppdatering, därimot så kommer här en skärmdump på vilka moduler som finns i denna version:

image

Hoppas att detta har väckt ditt intresse för BeEF. Har du kommentarer eller frågor var vänlig använd kommentarsfunktionen på bloggen.

/Michael Boman