Español | English
rss facebook linkedin Twitter

Detectando un ZeuS

Ya llevamos un tiempo hablando de nuestro inseparable amigo, casi un colega de trabajo más: el ZeuS. Sigue dando guerra después de más de 3 años, cambiando y evolucionando para conseguir ocultarse mejor y realizar un fraude de mayor calidad. Pero lo que quizá no hemos comentado es cómo saber si nuestro amiguito está con nosotros, espiando todos nuestros movimientos e informando con detalle a sus padres, ya que los antivirus no son siempre efectivos.

Existen varias evidencias que nos pueden hacer pensar que estamos infectados por un ZeuS, en sus diferentes versiones:

  • Sistema de archivos

  • ZeuS deja rastro en el sistema de archivos cuando se encuentra instalado en el sistema, pero oculta y bloquea todos los archivos que crea, de tal forma que un usuario normal no podría verlos ni eliminarlos. La opción para lograr ver estos archivos es el uso de un software antirootkit que muestre archivos ocultos, dejando claro que algo pasa en nuestro equipo.


    Ahora mismo el nombre más habitual del binario es sdra64.exe y su directorio de configuración c:\windows\system32\lowsec, pero esto varía según versiones. Ya se hizo mención de los distintos nombres de los archivos de configuración, así que ahora enumeraré la nomenclatura de los binarios que hemos visto:

    ntos.exe
    oembios.exe
    twext.exe

    twex.exe
    sdra64.exe

    bootlist32.exe

    userinit32.exe

    bootwindows.exe


  • Registro de Windows

  • Otra forma de detectar la infección es a través del registro de Windows. El troyano asegura su ejecución al arrancar el equipo mediante la inclusión de la ruta del binario en la siguiente entrada del registro:


    HKLM/SOFTWARE/Microsoft/WindowsNT/Winlogon@Userinit

    De esta forma, simplemente abriendo el editor del registro (regedit.exe) podríamos localizar nuestro ZeuS:



  • Hooks

  • ZeuS necesita de varios hooks en diferentes funciones para poder realizar la inyección de código, captura de credenciales, etc. Estos hooks se situarán en en la mayoría de los ejecutables que se inicien y los más habituales son los siguientes:


    • ntdll.dll
    NtCreateThread
    LdrLoadDll
    LdrGetProcedureAddress
    NtQueryDirectoryFile
    • user32.dll
    GetClipboardData
    TranslateMessage

    Para saber si están colocados en nuestros procesos deberemos usar también algún software antirootkit:



  • Comportamiento raro en la banca electrónica

  • Es de esperar que a la gente que usa a diario la banca electrónica les resulte rara la adición de un campo extra pidiendo más credenciales de acceso, como puede ser la clave de firma, o que tras el login se soliciten todas las posiciones de la tarjeta de coordenadas. Quizá sea más complicada la detección para las personas que hacen un uso más ocasional del aplicativo, pero en cualquier caso lo ideal sería consultar con la entidad bancaria cuando se note alguna diferencia o elemento extraño. Este sería un ejemplo antes y después de la inyección de ZeuS:



  • Parámetros extra (lado del servidor)

  • Normalmente al añadir campos adicionales mediante inyección HTML estos parámetros extra viajan también al servidor del banco, que, dependiendo del código inyectado, podrá localizarlos y generar una alerta informando de una posible infección.



  • Mutex creados por el troyano

  • Por último, y como detección de nivel avanzado, se puede comprobar la ejecución del troyano en el sistema gracias a la existencia de varios mutex que éste crea. Se podría entonces realizar una llamada a una función como OpenMutex intentando abrir los mutex típicos de ZeuS y si no da error sería signo de una infección clara. Los mutex localizados hasta el momento son:

    __SYSTEM__64AD0625__
    _H_64AD0625_
    _AVIRA_2109
    _LILO_1909
    _SOSI_1909


Jose Miguel Esparza
S21sec e-crime




English version

1 comentario:

Anónimo dijo...

Muchas gracias por este articulo publicado.

espermos otro asi, con ejemplos y pantallazos que se entiende a la primera.

saludos


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login