Nová verzia trojana Zeus využíva P2P

Na internete sa objavila nová verzia trojana Zeus. Avšak ako sa zdá nejde o malý update, ale o „významný upgrade.“ Trojan v tejto verzii začal využívať P2P funkcionalitu, s ktorou odpadá nutnosť použitia algoritmu generácie domén. Namiesto neho je využitý zoznam IP adries, ten infikované počítače nasmeruje na miesta, kde si môžu stiahnuť nové verzie infiltrácie a konfiguračné pokyny. Využitím tohto spôsobu komunikácie sa stáva trojan oveľa ťažšie sledovateľný.

Zues zamestnáva analytikov infiltrácií už pomerne dlhú dobu. Jeho autori menia taktiku raz za istý čas. Zmenami komunikácie, či riadenia botnetu komplikujú bezpečnostným odborníkom analýzu. Podobný spôsob komunikácie v rámci botnetu zvolili aj mnohí ďalší autori iných botnetov. Analytikom v tejto situácií nestačí prevziať kontrolu nad centrálnym riadiacim serverom, a tak prípadne botnet odstaviť.

Spomínanú novú verziu Zeusu objavila švajčiarska skupina Abuse.ch. Každý novo infikovaný počítač sa pokúsi naviazať spojenie s iným členom v P2P sieti, aby mohol prijímať pokyny, aktualizačné súbory a konfiguračné informácie, prostredníctvom UDP paketov, pričom je použité vysoké číslo portu. Ak úspešne zavŕši proces spojenia, stiahne si súbor s IP adresami ostatných členov botnetu. Nová verzia Zeusu umožňuje vzdialene kontrolovať verziu malware na infikovaných počítačoch a automaticky stiahnuť aktualizáciu, ak je to potrebné.

V prevádzke podľa Abuse.ch ostáva ešte jedna C&C doména používaná na ovládanie botnetu, avšak nie je statická. Okrem nevýhod, ktoré prináša použitie P2P architektúry, má tento mechanizmus i svoje výhody. Existuje vždy len jeden aktívny C&C server v rovnakom čase, po zrušení platnosti doménového názvu tak autori vydajú nový konfiguračný súbor.

Z dát, ktoré má k dispozícií Abuse.ch vyplýva, že strmí nárast tohto variantu trojana Zeus nastal na konci septembra.

Zdroj: threatpost.com