Mã độc Lite Zeus – biến thể cập nhật thủ thuật mã hóa

09:15 | 03/07/2014

Các nhà nghiên cứu đã phát hiện ra một biến thể mã độc mới thuộc họ Zeus giản thiểu các chức năng, nhưng sử dụng cơ chế mã hóa phức tạp. Biến thể này có tên là Lite Zeus được viết chi tiết trên blog của Fortinet vào ngày 27/6/2014.

Theo Kan Chen, một nhà nghiên cứu an ninh mạng của FortiGuard Labs thuộc Fortinet, Lite Zeus có một số khác biệt  so với P2P Zeus (gameover Zeus), chẳng hạn như giao thức điều khiển truyền dẫn (TCP), phương pháp mã hóa/giải mã và cơ chế kiểm soát và điều khiển. Lite Zeus có khả năng thực hiện điều khiển hệ điều hành để tắt máy hoặc khởi động lại máy tính của nạn nhân. Kẻ tấn công cũng có thể cập nhật các botnet theo ý muốn để thực hiện các hoạt động độc hại khác theo các phương án lựa chọn. Chen cho rằng, dựa trên hardcoded và các dữ liệu được mã hóa trong bản thân bot, có thể  phát hiện ra rằng, biến thể Zeus này có khả năng thực hiện nhiều lệnh, chẳng hạn như os_shutdown, os_reboot, user_execute, mod_exec, bot_update… Đáng ngạc nhiên, biến thể Zeus này không sử dụng RC4, AES-128 đã được sử dụng thay thế.

Hình 1. Máy chủ C & C ban đầu và mã AES trọng yếu 
Một khi mã nhị phân Zeus được “tiêm” vào explorer.exe quá trình, nó sẽ bắt đầu truy vấn danh sách máy chủ từ máy chủ C & C hardcoded ban đầu.
Các phần mềm độc hại Zeus, hay còn gọi là Zbot, là một bot có khả năng ăn cắp thông tin cá nhân và nhạy cảm bao gồm cả mật khẩu cá nhân và thông tin ngân hàng từ máy chủ bị nhiễm bệnh. Máy chủ   kiểm soát và điều khiển (C & C) của nó có thể điều khiển thực thi chương trình từ xa bằng cách gửi chuỗi lệnh khác nhau, chẳng hạn như cập nhật phần mềm độc hại, thực hiện các tập tin phần mềm độc hại khác…. Theo các chuyên gia, các mã cơ bản của mã độc Zeus 2.0 vẫn là một nguồn thu hút các tác giả phần mềm độc hại tiếp tục phát triển các thế hệ tiếp theo của họ phần mềm độc hại này. Trong các biến thể trước chủng loại ZeuS.Maple, hệ tiêu chuẩn mã dòng RC4 đã được sử dụng rộng rãi trong mã hóa/ giải mã dữ liệu với lý do tốc độ xử lý nhanh và dễ thực hiện. Mã hóa AES-128 đã thay thế RC4 trong biến thể ZeuS.Maple, cung cấp phương pháp mới và cải tiến được sử dụng bởi các nhà phát triển phần mềm độc hại để bỏ qua kiểm soát an ninh tự động cũng như các chuyên gia nghiên cứu phần mềm độc hại. ZeuS.Maple  tấn công nhắm vào các mục tiêu chính là 14 tổ chức tài chính-ngân hàng hàng đầu ở Canada hồi đầu năm 2014.   
Các chuyên gia kết luận, cũng tương tự như biến thể Maple,  Lite Zeus là một trong số các loại biến thể mã độc Zeus xuất hiện trong thị trường gameover Zeus. Tương tự như trường hợp mã hóa AES-128, các biến thể mã độc Zeus luôn luôn cập nhật các thủ thuật mới để né tránh kiểm duyệt an ninh, an toàn mạng. Trong tương lai, các tác giả của Zeus có thể sử dụng phương pháp mã hóa từ các thư viện được phát hành rộng rãi và công khai của chính mã độc Zeus.