Español | English
rss facebook linkedin Twitter

Los primeros pasos del nuevo GOZ

Desde el inicio de la operación Tovar contra el conocido troyano bancario Murofet/Gameover/ZeusP2P la actividad en la botnet ha dejado de crecer y parece prácticamente abandonada desde entonces. En vez de intentar recuperar el control de la misma, parece que los botmasters (o nuevos) han optado por empezar de cero creando una nueva botnet con una nueva versión del troyano. A lo largo del post se analizarán las principales novedades al respecto.

Comunicación:

  • Se ha prescindido del Peer-to-peer (P2P) en favor de una red de tipo Fast-Flux con un nuevo algoritmo de generación de dominios (DGA).
  • La clave pública incluida en el mismo (XOReada en la misma forma que antes), ha pasado de ser usada para verificar la firma de aquellos recursos distribuidos por la red P2P, a formar parte de un sistema de comunicación clásico de clave simétrica+asimétrica en el que el payload se cifra con un algoritmo simétrico mientras que la clave generada aleatoriamente se cifra con dicha clave pública para ser enviado todo ello al panel de control en una forma similar a la ya usada, por ejemplo, en Cryptolocker (relacionado con Murofet) o Cridex/Bugat/Feodo/Geodo.
De esta forma, teniendo en cuenta que el DGA se basa en una semilla hardcodeada, bastaría cambiar la misma junto con la clave pública incorporada en el binario, para tener una nueva botnet.



Cifrado:

Mientras que el cifrado se mantiene idéntico en algunos aspectos, en otros ha sufrido modificaciones debido principalmente al nuevo sistema de comunicación anteriormente descrito. Por lo tanto nos encontramos con que:
  • Se mantiene RC4 para aquellos datos de configuración almacenados en el registro del sistema.
  • La comunicación con el panel de control, así como todo dato recibido por su parte pasaría a usar AES256+RSA.



Configuración:

La configuración por su parte no ha sufrido apenas cambios. De hecho gran parte de las inyecciones y afectaciones son antiguas, e incluso aparecen variables que usan funcionalidades no presentes ya en la actual versión, como aquella relacionada con el Proxy P2P:




Por lo tanto parece que nos encontramos con una especie de involución de Murofet, que incluso nos recuerda a Licat, su predecesor. Esto no lo hace menos interesante ya que, aunque lo visto en los ficheros de configuración podrían indicar una cierta prisa en su lanzamiento, otras nuevas características como la semilla del DGA pueden convertirlo en un reto para quienes pretendemos acabar con él, una vez más.



Santiago Vicente

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login