반응형

Zeus란??

제우스 웹 서버(Zeus Web Server)는 유닉스유닉스 계열 플랫폼을 위한 높은 성능의 웹 서버이다.

영국 케임브리지의 소프트웨어 회사 제우스 테크놀로지가 개발하였다. 초기 제작자와 회사를 세운 사람들은 케임브리지 대학교의 졸업생 Damian Reeves와 Adam Twiss였다.


몇일 전.. 국내 보안 사이트에서 ZEUS BotNet에 관련된 기사가 떴습니다.


ZEUS BotNet에 감염된 PC를 이용하여 인터넷 뱅킹을 이용했고 그때 유출된 개인 정보를 통해 해커가 회사 돈
약 2억원을 빼냈다는 내용입니다.

그러던 중 오늘 해외 보안 사이트에서도 ZEUS BotNet에 대해서 언급하는 글이 있어서 정리도 할 겸 글을 남기고
있습니다..


(혹시 이 문서 내용 번역 좀 해주실분.. -_-ㅋ;;
앞부분은 대충 아는 내용이라 휙휙 넘어가는데.. 뒷부분은... oTL..)


아래는 간단한 ZEUS 소개에 대한 내용입니다.

WHAT IS ZEUS?
ZeuS is primarily a crimeware kit designed to steal users’ online banking login credentials, among other things. It is the handiwork of Eastern European organized criminals that has now entered the underground cybercriminal  market as a commodity.
ZeuS is known by many names—ZBOT due to its botnet capabilities, WSNPoem, PRG, and others—but its use  has been particularly criminal. In short, ZeuS is two things:
• From a technical perspective, it is a crimeware tool primarily used to steal money.
• From another perspective, it signals a new wave in online criminal business
enterprise wherein many different organizations cooperate with one another to perpetrate outright online theft and fraud.
The principal perpetrators behind the ZeuS botnet are in Eastern Europe, particularly in the Ukraine and Russia. However, the recent availability of the ZeuS Builder toolkit in the open market has muddied the waters on attributing crimes to any one individual or group. That said, there is definitively a difference between “professional” criminals and “amateurs.” The professional, organized crime syndicates also have other business
connections, which they leverage to perpetrate their crimes and move their money.




Zeus BotNet 중 특정 버전의 Zeus Builder를 구할 수 있었습니다.
해당 Builder를 가지고 이것저것 살펴보니 글로만 보던 ZPACK을 좀 더 확실히 이해 할 수 있었습니다.
그래서 특정 패턴을 뽑아보려고 하니 역시 Builder보다는 그로 인한 product를 잡는게 나을 것 같더군요...
실질적으로 Builder가 돌아다니는 것 보단 product가 훨씬 많이 돌아다닐 것이며 product를 검출하는 패턴이 훨씬 효율적이란 생각이 들더군요;;
무언가 좀 특정한 부분이 없을까.. 고민을 해보았는데..

마땅히 특정 패턴을 추출하기 힘들었습니다..
고민을 하던 도중.. 내용이 바뀌더라도 언팩과정은 변하지 않을 것이라는 생각이 들더군요..
예상대로 언팩과정은 OPCODE는 같았고 다른 점은 참조되는 메모리의 Address만이 틀린거 같았습니다..
이는 충분히 Snort에서 검증을 할 수 있을 것 같았고 실제로 몇몇 Snort에 적용을 해 놓은 상태 입니다..

비록 해당 버전의 Builder에서만 발견되는 내용이겠지만..
그래고 오탐의 가능성이 있겠지만.. 일단 뽑아서 적용시켜놨습니다....

벌써 한달 가량 되었지만..
아직까지는 단한번도 탐지가 되지 않았습니다;;
너무 오래된 버전이라 그런건지............................ -_-;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

최근 퍼지고 있는 ZPACK들도 모아서 살펴봐야겠네요.. 근데 딱히 버전 정보를 확인할 길이 없어서........

혹시 ZPACK을 백신 업체에서는 어떻게 탐지를 하고 있는지 아시는 분이거나..
이런 부분을 탐지하는 룰을 본적있다던가..
하는 분은 알려주세요.









반응형

'작업공간 > Tool' 카테고리의 다른 글

MDecoder  (0) 2010.10.13
OllyDBG 2.0 Release  (0) 2010.06.07
[Tool] Detectez les attaques Man in the Middle !  (0) 2010.03.08
Super Phisher  (0) 2010.03.02
FileInsight  (0) 2010.03.01

+ Recent posts