1 PendahuluanKetika kode sumber Trojan Zeus (v.2.0.9.8) bocor ke publik pada bulan April tahun ini, jelas bahwa ini akan memiliki beberapa implikasi serius bagi industri keamanan. Pada saat itu, ada spekulasi bahwa ini akan menghasilkan sejumlah besar varian baru, sebagai penulis malware mendapat pegangan dari kode dan mulai bekerja pada versi mereka sendiri.Setelah periode keheningan, kita telah melihat setidaknya tiga varian baru berdasarkan kode sumber bocor Zeus muncul dalam beberapa minggu terakhir. Tidak satupun dari tiga varian dimodifikasi inti dari kode Zeus; semuanya berfokus pada penghindaran AV dan memastikan bahwa keamanan peneliti / alat tidak dapat dengan mudah mendekripsi file konfigurasi.File-file konfigurasi mendefinisikan apa Trojan Zeus tidak, dan karena itu grail suci untuk setiap Trojan.Dalam laporan ini, kita melihat ke dalam rinci sehubungan dengan varian baru dan perubahan apa yang diperkenalkan.Trojan Zeus adalah rumit, dengan lebih dari 600 subrutin. Daripada memeriksa seluruh kode untuk perubahan, penelitian ini hanya melihat pada proses yang terlibat dalam memperoleh sebuah file konfigurasi diterjemahkan. Ini adalah patokan yang berguna bagi peneliti, karena informasi yang kita biasanya tertarik pada adalah situs diserang oleh setiap salinan tertentu dari Zeus, dan setiap kode kustom yang digunakan dalam serangan-serangan. Kedua potongan informasi yang terkandung dalam file konfigurasi, yang dienkripsi.2 Ringkasan EksekutifTiga varian yang dirilis hanya dalam beberapa minggu adalah:

    * ICE IX
          o Versi Zeus diklaim oleh penulisnya untuk membuat hidup lebih sulit bagi perusahaan pelacakan dengan membuatnya lebih sulit bagi mereka untuk men-download file konfigurasi.
          o Ini jelas menusuk di ZeuS Tracker dan perusahaan keamanan semua yang mencoba untuk memonitor file-file konfigurasi dan mendekripsi mereka untuk memberikan penilaian untuk merek apakah mereka terkena.
    * Versi Registry Penyimpanan
          o Versi ini menyimpan file konfigurasi di dalam lokasi yang berbeda dan juga mencoba untuk menghapus kunci enkripsi di memori.
          o alat konfigurasi Banyak dekripsi mencari kunci RC4 dalam memori yang versi ini jelas mencoba untuk menghindari.
    * RC4 digantikan dengan AES
          o algoritma enkripsi RC4 telah digantikan oleh AES.
          o Ini berarti bahwa semua alat yang ada tidak bekerja lagi dan harus ditulis ulang.
Tiga penulis yang berbeda telah mengembangkan strain Zeus dengan ide mereka sendiri tentang bagaimana meningkatkan malware. Namun, dalam setiap kasus tidak ada perubahan mendasar pada arsitektur, tapi hanya perubahan kecil yang lebih sesuai dengan cara Zeus telah berkembang itu sendiri. Dengan sedikit usaha, masih mungkin bagi para peneliti keamanan untuk mendapatkan dan mendekripsi file konfigurasi.Skenario terburuk dari proliferasi varian Zeus uncrackable belum karena itu terwujud. Ini mungkin masih soal waktu. Upaya yang diperlukan untuk menulis ulang skala besar dari Zeus mungkin berarti bahwa kita harus menunggu beberapa saat lagi untuk varian nastier tiba. Atau, mungkin juga berarti bahwa mendasarkan malware Anda pada kode yang peneliti keamanan juga memiliki akses adalah langkah buruk bagi pembuat malware. Mereka mungkin telah memutuskan lebih baik untuk menulis malware mereka sendiri dari awal, dan tidak menggunakan kembali kode yang dapat dianggap dikompromikan.Terakhir, versi lama dari Zeus masih berkembang biak. Banyak contoh yang kita lihat masih didasarkan pada sumber aslinya tua yang baik!
Gambar di atas merangkum perubahan dalam tiga versi. Lebih rinci diberikan dalam catatan berikut.4 Dewa Zeus Trojan secara rinci4,1 benchmark SalinUntuk mulai dengan, kita mengambil singkat melihat salinan patokan Zeus untuk melihat bagaimana file konfigurasi dapat diterjemahkan pada saat pelepasan kode sumber. Salinan patokan dipilih adalah sangat mirip dengan salinan Zeus diciptakan oleh kompilasi kode sumber. Diagram berikut menyajikan langkah yang diperlukan untuk mendekripsi file konfigurasi Zeus.Zeus Perlindungan Algoritma
Diagram menunjukkan betapa rumit Zeus telah menjadi dalam rangka untuk mencoba dan melindungi file konfigurasi dari para peneliti keamanan.

   1. Zeus menerapkan algoritma permutasi untuk 'BaseConfig' wilayahnya data untuk membuat sebuah kunci yang digunakan oleh algoritma enkripsi RC4.
   2. Tombol ini digunakan untuk mencari exe Zeus untuk penanda digunakan untuk menyimpan daerah lain data, 'Overlay' daerah.
   3. Setelah ditemukan, kuncinya kemudian digunakan untuk mendekripsi Overlay daerah seluruh data, memulihkan data diidentifikasi sebagai INSTALLDATA.
   4. Daerah ini INSTALLDATA data berisi kunci XOR dan informasi ukuran digunakan untuk mendekripsi kode yang Zeus perlu melanjutkan pelaksanaannya.
   5. Zeus sekarang salinan dirinya ke lokasi baru, update area Overlay dengan data baru yang mereka sebut PESETTINGS, dan memulai salinan baru.
   6. Zeus XORS 'BaseConfig' datanya dengan daerah lain data untuk mengekstrak kunci RC4 kedua, dan URL.
   7. URL ini digunakan untuk mendownload file konfigurasi Zeus.
   8. Kunci RC4 digunakan sebagai tahap pertama dalam dekripsi.
   9. Sebuah algoritma berbasis XOR disebut 'VisualDecrypt' digunakan untuk menyelesaikan dekripsi. File parameter sekarang tersedia, tetapi masih disimpan dalam format Zeus internal yang terkompresi.
  10. Algoritma dekripsi UCL digunakan untuk dekompresi bagian dari file konfigurasi, yang akhirnya sekarang dapat dilihat oleh para peneliti keamanan.
  11. Salinan baru mengulangi langkah 1-3 untuk mendekripsi daerah Overlay dan memulihkan data PESETTINGS. Sebuah baru RC4 kunci dari data PESETTINGS digunakan untuk kembali mengenkripsi file konfigurasi dari langkah 8 dan menyimpannya dalam registri. Zeus sekarang dapat menggunakan salinan lokal daripada men-download data konfigurasi setiap kali.
Meskipun ini sangat rumit, ini masih merupakan penyederhanaan proses yang sebenarnya. Zeus pembangun kit dapat bervariasi urutan dan lokasi dari semua daerah data dalam areal BaseConfig dan Overlay sehingga mengkompilasi ulang kode sumber yang sama dapat membuat versi dengan berbagai karakteristik.Selanjutnya, salinan paling Zeus yang dikemas dengan satu atau lebih tidak umum, yang berarti bahwa langkah-langkah membongkar beberapa perlu diambil sebelum pekerjaan yang sebenarnya dapat dimulai.Namun, kita dapat membuat beberapa penyederhanaan juga. Kami mengatakan sebelumnya bahwa salah satu tujuan dari peneliti keamanan adalah untuk mendekripsi file konfigurasi Zeus. Jika ini adalah semua yang perlu kita lakukan, maka kita bisa kehilangan sebagian besar langkah. Dimulai dengan salinan dari Zeus dan file konfigurasi, kita hanya perlu melakukan langkah 6, 8, 9 dan 10 untuk berakhir dengan file parameter diterjemahkan. Jika kita tidak memiliki file parameter, kita dapat melakukan langkah 7, atau bahkan menjalankan salinan Zeus dalam mesin virtual dan menangkap lalu lintas jaringan seperti download salinan. Kita bisa menggunakan salah satu salinan Zeus untuk tujuan ini - yang asli, atau salinan baru yang tercipta.Merah tahap berwarna dalam diagram menggambarkan ini.
Sebagian besar waktu, ini adalah situasi yang peneliti keamanan masuk Dalam beberapa kasus penelitian ini mungkin telah tersedia sebuah mesin dikompromikan, dan dengan itu, salinan dari konfigurasi disimpan dalam registri, ditambah salinan berubah Zeus. Dalam hal ini adalah sedikit lebih sulit, tetapi file parameter dapat diciptakan kembali dengan mengikuti langkah 1, 2, 3, 11, 9 dan 10. Di sini, salinan Zeus digunakan harus copy berubah. Kunci RC4 dihasilkan di daerah Overlay adalah unik untuk mesin yang Zeus aktif, dan tidak ada salinan lain karena itu akan bekerja. Sekali lagi, merah berwarna tahap dalam diagram menggambarkan ini.

Kita sekarang dapat melihat di versi baru dari Zeus untuk melihat bagaimana mereka telah mempengaruhi proses ini.4,2 ICE IXVersi Zeus diklaim oleh penulisnya untuk membuat hidup lebih sulit bagi perusahaan pelacakan dengan membuatnya lebih sulit bagi mereka untuk men-download file konfigurasi. Ini diklaim memperpanjang umur botnet, memberikan pengembalian yang lebih besar atas investasi. Analisis kode menunjukkan bahwa hal ini dilakukan dengan mengubah format URL yang digunakan untuk mengambil data konfigurasi. Data tambahan ditambahkan yang diperiksa kebenaran sebelum melayani Zeus akan mengembalikan file konfigurasi.Apakah ini akan menyebabkan perusahaan melacak kesulitan membayangkan penulis adalah pertanyaan untuk dipertimbangkan. Para zeustracker.abuse.ch situs pelacak sudah memiliki posting blog pada format baru [1], yang menunjukkan itu tidak memberi mereka kesulitan tertentu. Dalam hal apapun, tidak peduli betapa sulitnya penulis membuat algoritma-nya, copy Zeus selalu dapat dijalankan sehingga akan mendownload file konfigurasinya. Hal ini menunjukkan bahwa setiap perlombaan senjata penulis dapat memilih untuk mengejar dasarnya adalah sia-sia.Ada perubahan lain di versi ini Zeus juga dirancang dalam membuatnya lebih menarik bagi calon pembeli [2], tetapi ini adalah di luar lingkup tulisan ini.Bidang perubahan ditandai dengan warna merah dalam diagram berikut.
Versi 4.3 Registry PenyimpananVersi Zeus mengubah cara bahwa data yang disimpan dalam registri. Versi patokan menggunakan 3 subkey dengan nama secara acak dan menyimpan nama dalam daerah Overlay. Versi ini menggunakan subkunci banyak lagi. Untuk menghindari harus memperluas wilayah Overlay, nama subkey yang dihasilkan dengan menggunakan algoritma yang akhirnya menghasilkan basis 20 nomor yang digunakan sebagai nama subkey.Tidak jelas apakah ini telah dilakukan untuk membuat hidup lebih sulit bagi para peneliti keamanan. Ini hanya mungkin skema baru untuk memungkinkan untuk ekspansi mudah dari kunci registri digunakan.Data registry yang tidak lagi dilindungi oleh algoritma VisualDecrypt. Ini mungkin karena penulis memutuskan bahwa karena algoritma RC4 100 bit harus memakan waktu lebih lama dari umur alam semesta untuk memecahkan [3], tidak ada gunanya menambahkan perlindungan ekstra dengan lapisan XOR.Beberapa upaya juga dibuat untuk menghapus kunci RC4 di memori setelah penggunaan. Ini dapat membantu melindungi terhadap probe memori mencoba untuk menemukan kunci saat program sedang berjalan. Namun, tidak melakukan apapun untuk melindungi terhadap analisis statis. Juga, cakupan tidak lengkap, dan beberapa salinan tidak hancur, dan tentu saja, kunci masih dalam memori saat mereka sedang digunakan.Terakhir, lokasi file konfigurasi tidak lagi disimpan dalam cara yang sama. Alih-alih sebuah URL hardcoded tunggal, data BaseConfig berisi serangkaian alamat IP dan port. Ini dihubungi secara bergulir melalui protokol berbasis UDP. Ini membuat lebih sulit bagi para peneliti keamanan untuk men-download file konfigurasi, meskipun seperti yang disebutkan sebelumnya, menjalankan bot dan membuatnya men-download file itu sendiri adalah selalu pilihan.
Seperti biasa, perubahan ditandai dengan warna merah.4.4 RC4 digantikan dengan AESSalinan akhir dari Zeus kita melihat memiliki algoritma RC4 digantikan oleh AES.Ini menggantikan satu uncrackable algoritma dalam masa hidup alam semesta dengan yang lain, juga uncrackable dalam rentang waktu yang sama. Oleh karena itu menambahkan tidak ada keselamatan teoritis dari file konfigurasi, meskipun tentu saja tidak membutuhkan penelitian keamanan untuk menambahkan AES untuk gudang mereka alat, jika mereka belum melakukannya.Memang, ada beberapa kekurangan kecil dalam pelaksanaannya penulis AES, yang membuat itu kurang aman dari itu bisa, dan mungkin kurang aman daripada versi RC4. Namun, dalam praktiknya mereka mungkin masih meninggalkan uncrackable file konfigurasi dengan teknologi yang tersedia [4], dan penulis selalu dapat sepele memperbaiki kekurangan ini pada versi berikutnya.Ada satu daerah di mana keamanan ditingkatkan. Kode yang dilindungi dalam langkah 5 dengan kunci XOR 4 byte sekarang dilindungi oleh AES. Kunci XOR adalah sepele mudah untuk menyimpulkan, karena kode yang dilindungi tidak banyak berbeda dari satu versi dari Zeus yang lain. Jadi, dengan mengetahui apa 4 dari byte mungkin harus, kuncinya dapat ditentukan hanya dalam beberapa mencoba. Enkripsi dengan AES menghasilkan derajat jauh lebih tinggi perlindungan. Namun, hanya dua start-up rutin dilindungi dengan cara ini, dan pengetahuan tentang kode ini sebenarnya tidak penting untuk dekripsi dari file konfigurasi, atau untuk memahami rutinitas utama Zeus. Seperti sebelumnya, perubahan ditandai dengan warna merah dalam diagram berikut.
5 Informasi lebih lanjutSilahkan menghubungi kami di labs@trustdefender.com

Lampiran 6 - rincian teknisBagian ini secara lebih rinci pada perubahan spesifik6,1 Es IXSampel yang digunakan memiliki ukuran 99.840 byte dan sebuah checksum MD5 dari 62f770d7db6dd6825b793ec5c456d7e2.Informasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.Versi 6.2 Registry Penyimpanan6.2.1 Perubahan RegistryInformasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.6.2.2 EnterCriticalSection / LeaveCriticalSection blokInformasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.6.2.3 Algoritma HashInformasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.6.2.4 Crypt penangananInformasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.6.2.5 Koneksi UDPInformasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.6,3 AES EnkripsiInformasi lebih lanjut dapat ditemukan dalam laporan Labs TrustDefender. Silahkan email kami di labs@trustdefender.com untuk mendapatkan salinan.
[1] http://www.abuse.ch/?p=3453[2] http://cleanbytes.net/ice-ix-the-zeus-banking-trojan-succesor[3] Kriptografer dipersilakan untuk tidak setuju dengan pernyataan angkuh. Dan tentu saja, algoritma uncrackable hari ini dapat menjadi sampah instan jika kemajuan dalam teori kriptografi atau teknologi komputasi terjadi.[4] Meskipun saya belum berkerah ahli kriptografi jinak untuk memverifikasi ini