Español | English
rss facebook linkedin Twitter

Evolución, ramificación y reflexiones sobre ZeuS.


Tras varios años prevaleciendo como el rey de los troyanos bancarios, en los últimos meses se ha hablado mucho de posibles cambios radicales en el mismo, y en este post voy a tratar de dar mi punto de vista sobre los aspectos más importantes al respecto.

  • ¿Posible merge con SpyEye?
En primer lugar, se habló de la posible cesión del código fuente al creador de SpyEye, con lo que se hablaba de la desaparición de ZeuS y la evolución de SpyEye en su lugar. Es cierto que SpyEye ha evolucionado, y se han visto ciertas características pertenecientes a ZeuS en versiones de SpyEye, e incluso algún servidor en el que parecía haber dos front-ends para la misma base de datos, pero la realidad es que todavía ambos troyanos siguen siendo utilizados de manera separada, y cada uno ha evolucionado.

Es normal que se implemente alguna mejora si está al alcance de la mano y el creador cree que aporta valor a su pieza de malware. Ahora que el código de ZeuS es público, es más probable aún que veamos partes de ZeuS utilizadas en otras muestras de malware, pero ZeuS seguirá tan activo como siempre.

  • ¿Ramificaciones debido a la publicación del código fuente?
Como es de todos sabido, el código fuente de la versión 2.0.8.9 fue hecho público, con lo que surgió el temor a encontrarnos muchas versiones con modificaciones. Se trata de un miedo razonable, pero el mundo underground está especializado y es probable que los mayores usuarios de los kits de zeus no tengan los conocimientos técnicos necesarios para personalizar la botnet a su antojo.

No cabe duda de que existe gente capacitada para ello, pero no es algo sencillo y el que lo haga deberá sacar beneficios mediante su venta, y no serán excesivos los grupos que tengan una base sólida de conocimiento ni los recursos de tiempo y esfuerzo necesario para dar ese paso, por lo que no creo que a finales de este año tengamos 100 ramificaciones de ZeuS, aunque no me extrañaría encontrarnos con 2 o 3, más aún teniendo en cuenta que ya hemos podido ver alguna desde hace algún tiempo.
  • ZeuS v2.1 y las dudas que plantea.
Largo y tendido se ha hablado de las versiones 2.1 de ZeuS que han tomado el nombre de Licat o Murofet, que contienen varias características que los diferencian bastante de los ZeuS habituales:
  • Generación de dominios en base a la fecha (en caso de fallar el dominio que lleva configurado por defecto).
  • Cambio en el fichero de configuración:
    1. Se encuentran códigos de identificación de secciones nuevos.
    2. No incluye URL de actualización de binario, config ni C&C, ya que se generan con el algoritmo comentado anteriormente.
    3. Algunas secciones del fichero de configuación tienen una codificación extra además de las capas XOR y RC4 habituales en la familia ZeuS 2.0.x.

Pero, además de estas versiones, hemos podido observar versiones 2.1.x que no comparten dichas características y, aparentemente, pertenecen a la evolución natural de ZeuS.

En la versión modificada, debido al uso de un algoritmo para la generación de dominios me atrevo a decir que se trata de una versión personalizada de ZeuS, modificada por un grupo en concreto, y no una evolución de la versión, digamos, troncal.

Al añadir una generación de dominios basada en la fecha se está centralizando el panel de control, de modo que la venta como kit de malware ya no tiene sentido. Por supuesto, esto se puede desmontar desde el momento en que la generación de dominios además de la fecha utilice una clave para la personalización del algoritmo, pero parece que no es el caso.

Sin llegar a realizar un análisis completo de la generación de dominios, diría que la campaña de versiones personalizadas pertenece a los dueños de las mismas campañas de finales del año pasado (cuando, de hecho, el código de ZeuS no era todavía público), basándome en 3 detalles:
  1. Mismo modus operandi, con un dominio incrustado y la generación de nombres de dominio en base la fecha actual en caso de que el dominio inicial no responde.
  2. Limitación a supuestamente 1020 valores al jugar con los minutos.
  3. Comprueba si el año es inferior a 2010 (y no 2011)



Mikel Gastesi
S21sec e-crime


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login