In questo articolo andremo ad descrivere brevemente il funzionamento di uno tra i più famosi malware kit, ZeuS, rifacendoci ad analisi effettuate da aziende che si occupano di sicurezza informatica.
Questo ci permetterà di gettare uno sguardo all’evoluzione del malware, da passatempo per giovani smanettoni alla ricerca di popolarità nell’underground informatico ad industria organizzata.
Ah già, non penserete ancora che chi scrive virus siano giovani nerd brufolosi con problemi di socializzazione, come nei film di Hollywood anni ’80?
photo credit: orphanjones
Di tempo ne è passato, la malavita ha fiutato l’affare ed ha deciso di investire in ricerca e sviluppo.
I risultati? In questo articolo faremo riferimento a ZeuS, un cosiddetto “crimeware kit” che soddisfa tutte le esigenze del truffatore online, permettendo di rubare credenziali d’accesso a servizi di home banking, e molto altro. In un recente studio di [TrendMicro][trendmicro], ZeuS è infatti descritto come:
>_ZeuS is a crimeware kit designed to steal users online banking credentials,
>among other things._
In [questo report][symantec] di [Symantec][sito_symantec] possiamo invece trovare una disamina più dettagliata delle funzionalità implementate da ZeuS e delle sue modalità operative.
La struttura del malware non è complicata, può essere infatti suddiviso in tre componenti fondamentali:
* il nucleo del malware, che deve essere eseguito sulla macchina vittima
* un file di configurazione
* un insieme di host a cui inviare le informazioni intercettate.
Il malware infatti una volta eseguito esegue il download del file di configurazione da una lista di possibili host che già possiede.
Subito dopo è in grado di rendersi operativo e di iniziare ad intercettare dati relativi ad una serie di target definiti nel file di configurazione scaricato.
Le funzionalità del malware non sono però così rozze come si potrebbe pensare.
Alcune delle funzionalità interessanti che distinguono questo malware dai “soliti keylogger” sono:
* un proxy integrato che permette di modificare in tempo reale le pagine visualizzate dal browser della vittima allo scopo di raccogliere informazioni aggiuntive (attacco [_man-in-the-browser_][man_in_the_browser])
* la possibilità di inviare le informazioni raccolte in tempo reale al gestore della botnet attraverso il protocollo di instant-messaging jabber (lo stesso usato da google talk, per intenderci)
* sistema di licensing hardware-based per l’interfaccia di amministrazione
* la possibilità di intercettare anche traffico https o pop3 alla ricerca di dati interessanti
e ad [altro ancora][secureworks]
A completamento del client da eseguire sugli host vittima vi è l’interfaccia di amministrazione, che ci riserva qualche altra sopresa.
Ciò che forse è più inquietante delle funzionalità implmentate dal malware è la facilità con cui, usando il software di amministrazione, sia possibile creare una versione custom del malware agendo su di una serie di parametri che è possibile personalizzare. Ad esempio è possibile agire sugli IP da cui raccogliere aggiornamenti, quali siti web bloccare, ogni quanto comunicare i dati raccolti e così via.
Come se non bastasse, una comoda interfaccia web permette di monitorare la botnet comodamente dal divano di casa.
Il passo successivo compiuto dagli sviluppatori è stato quello di sviluppare un vero e proprio modello di business.
L’ultima release del software è disponibile nei canali underground ad un prezzo abbordabile (tra 3000 e 4000 dollari), ma permette di avere a disposizione solo un limitato set di funzionalità di base.
Qui entra in gioco il business: proprio come un normale sofware commerciale sono disponibili una serie di plugin, ad esempio il supporto per l’infezione di host dotati di Windows Vista o Windows 7, oppure la la possibilità di ricevere i dati in realtime attraverso un client jabber e così via.
Cosa possiamo dedurre da questa breve descrizione di un malware kit evoluto?
Probabilmente dovremmo iniziare a cambiare l’approccio con cui ci volgiamo al problema della sicurezza dei nostri sistemi informatici.
Non sottovalutiamo il problema vedendolo solo come un costo da comprimere o eliminare in tempi di crisi.
Non illudiamoci nemmeno che sia un problema che non ci tocca, che sia limitato agli USA o ai paesi russi dove è stato sviluppato ZeuS, per accorgercene basta guardare [qui][zeustracker] e vedere quanti server per controllo di botnet sono attivi in Italia (hint: sono ben 7).
Sarebbe dunque il caso di guardare al problema in un’ottica di lungo periodo, il che non significa comprare l’ultimo firewall uscito sul mercato, ma investire in educazione degli utenti per renderli meno vulnerabili alle tecniche di phishing usate per estorcere dati direttamente o per installare malware.
*In collaborazione con Fabio Pozzi*
[trendmicro]: http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/zeusapersistentcriminalenterprise.pdf
[secureworks]: http://www.secureworks.com/research/threats/zeus/?threat=zeus
[zeustracker]: https://zeustracker.abuse.ch/index.php
[symantec]: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf
[sito_symantec]: http://www.symantec.com
[man_in_the_browser]: http://en.wikipedia.org/wiki/Man_in_the_Browser