En.Khaled Alfaiomi
09-20-2010, 07:38 PM
Zeus Botnet أصبح واحدا من أشهر و أخطر الـBotnets في الوقت الحاضر خطورة على مستخدمين الأنترنت بشكل عام حيث يقوم بجعل كل ما تفعله على الشبكة العنكبويتة من معلومات و خصوصيات تحت سيطرة الـBot Master نكاد نراه بشكل مبالغ فيه هذة الأيام بمواقع Malware Honeynets مثل malwaredomainlist.com, malwareurl.com و غيرها و اعتقد الكثير من من يقراء هذة التدوينة لم يسمع عنه من قبل او لم يعرف مدى خطورة هذا البوت اولا دعوني اوضح بعض المعلومات عن الـZeus Bot و فكرة عمله و technique المستخدم به الـZeus Bot هو ببساطة عبارة عن Http Botnet
بمعنى ان الـ Command & Control Center يتم التحكم به عن طريق المتصفح او الـ*** Browser فكرة البوت تختلف كثيرا عن اغلب البوتـز الأخرى التى سوف نتطرق إلي تحليلها ان شاء اللًه في مجتمع الحماية بأذن اللًه تعالى فأغلب الbots تكون مهمتها هي جلب عدد اكبر من الضحايا عن طريق استخدام طرق كثيرة لعمليات الـSpreading & Infection و سوف نقوم بشرح مفصل لهذا الكلام في تحليل واحد من اشهر هذه البوتات Butterfly Bot
لكن دعونا نعود إلى الـZeus Botnet و فكرة عمله و لماذا هو يصنف كـ High Risk Malware و هو في رائي هو عبارة عن صاروخ اطلقوه الروس و هم مشهورين جدا تخصص الـMawlares و يتم ابأستخدام فكر جديد في هذا البوت نت قريبا من فكرة الـkeyloggers لكن بشكل مختلف تماما فكما نعرف ان الـkeyloggers تقوم بعمل تسجيل لكل keystroke يقوم المستخدم بكتابته كذلك الـZeus Botnet قريبا من نفس هذة الفكرة فهو يستخدم الـForm Grabbing Technique و لمن لا يعرف ما هو Form Grabbing سوف اقوم بشرح فكرته بشكل مختصر جدا و سريع .
Form Grabbing هي عملية grab او التقاط اي شئ يتم اداخله في Forms بصفحات HTML نفترض مثلا انك قمت بتصفح لموقع بريدك الألكتروني و تريد الدخول إلى بريدك الألكتروني حيث تجد خانة username و خانة Password و تقوم بكتابة بريدك الألكتروني و الكلمة السرية الخاصة بك يتم وقتها الـform grabber بألتقاط ما قمت بعمل عملية POST له و تسجيل الـfiled Name و filed value مثلا username=admin و password=123456 شئ شبيها بعملية http sniffing ..
و هذة هي الفكرة الرئيسية للـzeus bot فهو يعتمد عليها بشكل اساسي فتمكن خطورته في جلب كل ما تقوم بكتابته في اي خانة في اي موقع الكتروني و يتم ارسال هذة المعلومات إلى http ***server و يتم استقبلها ملف يسمى gate.php الذي يقوم بأستقبال عملية الـpost و تخذينها في قاعدة البيانات .. و بعد فترة من جلب عدد اكبر من الضحايا يجد المتحكم بالبوت logs بشكل أكبر.
فاستخدام البوت غالبا يتم استخدامه استخدامات خطيرة لسرقة حسابات البنوك و الحسابات المهمة لدى المستخدمين و لكن بالطبع ليس كل هذا هو خطورة الـzeus حيث لديه من اسلحه و ادوات ما تجعل الجهاز الذي اصيب بهذا البوت يصبح جميع معلوماته و حسابته على الشبكة العنكبوتية متاحه للمتحكم في البوت
حيث قام الـBot Author بتطوير هذا البوت نت بشكل كبير في اخر اصدارته بأضافات ترعب مثلا قام
بتطوير vnc module & proxy module و غيرها من الأضافات الخطيرة ..
proxy module : تجعل من الجهاز المصاب بالبوت proxy server عن طريقه يتمكن المخترق من استخدام الأي بي الخاص بك و التصفح عن طريقة بشكل مباشر و يتم فيه ايضا Bypassing NAT عن طريق الـreverse connection او directly للأجهزة المتصلة مباشر بالأنترنت without nat
vnc module : و هو ما يمكن المخترق و المتحكم في البوت من دخول الجهاز المخترق و التحكم فيه تحكم كامل بدون ظهور اي شئ و يقوم بمشاهده جميع ملفات الجهاز المخترق و العمل فيه و استخدام نفس البرامج التى تعمل على الجهاز دون ان يظهر اي اثر على جهاز الضحية بالضبط كـremote desktop connection لكن invisible بشكل تام ..
و قد و وصلت اسعار الـmodules الواحده فقط إلى اكثر من $5000 من الـZeus Bot Author
و بالطبع يساوي الكثير لكن الـBlackhat ******* & Fraudsters ليس لديهم مشاكل لشراء هذة الأضافات
ايضا يوجد بعد الخواص او الأوامر المضافة الـى الـMAIN CORE الخاص بالزيوس و هي خطيرة ايضا مثل Dns spoofing يجعل من المستخدم عند دخولو لموقع معين يقوم بتحديده الـAttacker إلى فتح موقع اخر تماما من غير اي عمليات redirect ظاهره ..
ايضا توجد خاصية kill system و هي لتدمير و مسح ملفات جهاز الشخص المصاب بالـmalware كما يوجد الكثير من الـcommands و الأضافات الكثيرة في الـzeus bot لن يستطيع المجال ان نتطرق إليها كلها
و للحماية من مثل الـzeus bot ينصح بأستخدام احدى برامج مكافحة malware و أنصح بـmalware bytes لأنه الـmanual removal للبوت لن يكون سهلا على المستخدم العادي لأنه يقوم بعمل
Injection في winlogon.exe processes و برنامج malwarebytes ممتاز جدا لفحص البرامج الخبيثة على windows و بالطبع مستخدمين الينوكس في safe side : )
البرامج التي ينصح بها للحماية أو فحص الجهاز ..بشكل دوري
http://www.malwarebytes.org (http://www.mgtrben.com/portal/redirector.php?url=http%3A%2F%2Fwww.malwarebytes.o rg%2F)
http://www.malwaredomainlist.com (http://www.mgtrben.com/portal/redirector.php?url=http%3A%2F%2Fwww.malwaredomainl ist.com%2Fmdl.php%3Fsearch%3Dzeus%26colsearch%3DAl l%26quantity%3D500)
www.symantec.com (http://www.mgtrben.com/portal/redirector.php?url=http%3A%2F%2Fwww.symantec.com%2 Fconnect%2Fblogs%2Fzeus-king-underground-crimeware-toolkits)
بمعنى ان الـ Command & Control Center يتم التحكم به عن طريق المتصفح او الـ*** Browser فكرة البوت تختلف كثيرا عن اغلب البوتـز الأخرى التى سوف نتطرق إلي تحليلها ان شاء اللًه في مجتمع الحماية بأذن اللًه تعالى فأغلب الbots تكون مهمتها هي جلب عدد اكبر من الضحايا عن طريق استخدام طرق كثيرة لعمليات الـSpreading & Infection و سوف نقوم بشرح مفصل لهذا الكلام في تحليل واحد من اشهر هذه البوتات Butterfly Bot
لكن دعونا نعود إلى الـZeus Botnet و فكرة عمله و لماذا هو يصنف كـ High Risk Malware و هو في رائي هو عبارة عن صاروخ اطلقوه الروس و هم مشهورين جدا تخصص الـMawlares و يتم ابأستخدام فكر جديد في هذا البوت نت قريبا من فكرة الـkeyloggers لكن بشكل مختلف تماما فكما نعرف ان الـkeyloggers تقوم بعمل تسجيل لكل keystroke يقوم المستخدم بكتابته كذلك الـZeus Botnet قريبا من نفس هذة الفكرة فهو يستخدم الـForm Grabbing Technique و لمن لا يعرف ما هو Form Grabbing سوف اقوم بشرح فكرته بشكل مختصر جدا و سريع .
Form Grabbing هي عملية grab او التقاط اي شئ يتم اداخله في Forms بصفحات HTML نفترض مثلا انك قمت بتصفح لموقع بريدك الألكتروني و تريد الدخول إلى بريدك الألكتروني حيث تجد خانة username و خانة Password و تقوم بكتابة بريدك الألكتروني و الكلمة السرية الخاصة بك يتم وقتها الـform grabber بألتقاط ما قمت بعمل عملية POST له و تسجيل الـfiled Name و filed value مثلا username=admin و password=123456 شئ شبيها بعملية http sniffing ..
و هذة هي الفكرة الرئيسية للـzeus bot فهو يعتمد عليها بشكل اساسي فتمكن خطورته في جلب كل ما تقوم بكتابته في اي خانة في اي موقع الكتروني و يتم ارسال هذة المعلومات إلى http ***server و يتم استقبلها ملف يسمى gate.php الذي يقوم بأستقبال عملية الـpost و تخذينها في قاعدة البيانات .. و بعد فترة من جلب عدد اكبر من الضحايا يجد المتحكم بالبوت logs بشكل أكبر.
فاستخدام البوت غالبا يتم استخدامه استخدامات خطيرة لسرقة حسابات البنوك و الحسابات المهمة لدى المستخدمين و لكن بالطبع ليس كل هذا هو خطورة الـzeus حيث لديه من اسلحه و ادوات ما تجعل الجهاز الذي اصيب بهذا البوت يصبح جميع معلوماته و حسابته على الشبكة العنكبوتية متاحه للمتحكم في البوت
حيث قام الـBot Author بتطوير هذا البوت نت بشكل كبير في اخر اصدارته بأضافات ترعب مثلا قام
بتطوير vnc module & proxy module و غيرها من الأضافات الخطيرة ..
proxy module : تجعل من الجهاز المصاب بالبوت proxy server عن طريقه يتمكن المخترق من استخدام الأي بي الخاص بك و التصفح عن طريقة بشكل مباشر و يتم فيه ايضا Bypassing NAT عن طريق الـreverse connection او directly للأجهزة المتصلة مباشر بالأنترنت without nat
vnc module : و هو ما يمكن المخترق و المتحكم في البوت من دخول الجهاز المخترق و التحكم فيه تحكم كامل بدون ظهور اي شئ و يقوم بمشاهده جميع ملفات الجهاز المخترق و العمل فيه و استخدام نفس البرامج التى تعمل على الجهاز دون ان يظهر اي اثر على جهاز الضحية بالضبط كـremote desktop connection لكن invisible بشكل تام ..
و قد و وصلت اسعار الـmodules الواحده فقط إلى اكثر من $5000 من الـZeus Bot Author
و بالطبع يساوي الكثير لكن الـBlackhat ******* & Fraudsters ليس لديهم مشاكل لشراء هذة الأضافات
ايضا يوجد بعد الخواص او الأوامر المضافة الـى الـMAIN CORE الخاص بالزيوس و هي خطيرة ايضا مثل Dns spoofing يجعل من المستخدم عند دخولو لموقع معين يقوم بتحديده الـAttacker إلى فتح موقع اخر تماما من غير اي عمليات redirect ظاهره ..
ايضا توجد خاصية kill system و هي لتدمير و مسح ملفات جهاز الشخص المصاب بالـmalware كما يوجد الكثير من الـcommands و الأضافات الكثيرة في الـzeus bot لن يستطيع المجال ان نتطرق إليها كلها
و للحماية من مثل الـzeus bot ينصح بأستخدام احدى برامج مكافحة malware و أنصح بـmalware bytes لأنه الـmanual removal للبوت لن يكون سهلا على المستخدم العادي لأنه يقوم بعمل
Injection في winlogon.exe processes و برنامج malwarebytes ممتاز جدا لفحص البرامج الخبيثة على windows و بالطبع مستخدمين الينوكس في safe side : )
البرامج التي ينصح بها للحماية أو فحص الجهاز ..بشكل دوري
http://www.malwarebytes.org (http://www.mgtrben.com/portal/redirector.php?url=http%3A%2F%2Fwww.malwarebytes.o rg%2F)
http://www.malwaredomainlist.com (http://www.mgtrben.com/portal/redirector.php?url=http%3A%2F%2Fwww.malwaredomainl ist.com%2Fmdl.php%3Fsearch%3Dzeus%26colsearch%3DAl l%26quantity%3D500)
www.symantec.com (http://www.mgtrben.com/portal/redirector.php?url=http%3A%2F%2Fwww.symantec.com%2 Fconnect%2Fblogs%2Fzeus-king-underground-crimeware-toolkits)