Zeus-Trojaner: Ein Hacker dreht den Spieß um
Was Sicherheitsforscher so machen, wenn sie Langeweile haben? Zum Beispiel einen Zeus-Trojaner auseinander nehmen und den Botnetz-Master mit seiner eigenen Webcam fotografieren.
Raashid Bhat hat den im Anhang einer Mail enthaltenen Zeus-Trojaner analysiert und die gewonnenen Informationen konsequent genutzt. So kaperte er nicht nur den Kontroll-Server des Bot-Netzes sondern präsentiert in seiner Analyse auch noch ein Foto, das durchaus den Botnetz-Master vor seinem Rechner zeigen könnte.
In der an die E-Mail angehängten ZIP-Datei mit einem angeblichen Bild fand sich – wie kaum anders zu erwarten – eine EXE-Datei namens image.scr
. Der Debugger und Dissassembler IDA Pro verriet schnell, dass es sich um eine Variante des Online-Banking-Trojaners Zeus handelte. Dessen weitere Analyse bescherte dem Forscher die IP-Adresse des Command&Control-Servers (C2C) und einen RC4-Schlüssel für die Kommunikation mit selbigem.
Über eine bekannte Sicherheitslücke bestimmter Zeus-Versionen – auch Kriminelle spielen offenbar keine Updates ein – konnte Bhat in der C2C-Web-Applikation eigenen PHP-Code einschleusen und ausführen. Die Lücke beruht darauf, dass der infizierte Client Dateien auf den C2C-Server hochlädt, was sich ausnutzen lässt, eine PHP-Datei dort zu platzieren.
Im weiteren wird die Beschreibung etwas vage. Wenn man es drauf anlegt, könnte man demnach dem Botnetz-Master bei seinem nächsten Login auf den C&C-Server einen speziellen Metasploit-Exploit unterjubeln. Wenn man das etwa mit dem Meterpreter-Befehl webcam_snap tun würde, landete beim nächsten Login des Botnetz-Masters ein Schnappschuss von dessen Webcam auf dem PC des vermeintlichen Opfers. Ob das darunter abgebildete Konterfei tatsächlich einer solchen Aktion entsprang, lässt Bhat jedoch wohlweislich offen. (ju)