28 nov. 2013

ZeuS timeline

En esta serie de posts vamos a presentar un resumen de las diferentes versiones y ramificaciones de la familia de troyanos ZeuS, amenaza que vimos nacer hace ya casi 7 años, y que todavía hoy, en su versión evolucionada, sigue siendo la herramienta preferida para atacar mayormente a entidades financieras.


En la línea de tiempo superior se puede ver claramente cómo ha sido la evolución del mismo y, sobre todo, la explosión de variantes posterior al filtrado del código fuente.

De esta manera, la rama 1.x dio lugar a diferentes versiones, si bien la versión 1.2.4.2 fue la que más éxito tuvo. Es por eso que la gente metida en el mundillo seguro que reconocerá rápidamente el fichero sdra64.exe como un ZeuS 1.2.x.

Durante la evolución del mismo, se han podido observar diferentes mejoras tanto en funcionalidades como en protección, y es que durante los años 2008 y 2009 se mantuvo un desarrollo continuado que dio lugar a las versiones 1.1 a la 1.4, momento en el que se da un lavado de cara y se pasa a la versión 2.0.

A finales de 2009, con el troyano consolidado como el rey (con permiso de SpyEye) de los troyanos bancarios, surge esta nueva versión, que marcará un antes y un después con el filtrado del código fuente de la versión 2.0.8.9 en abril-mayo de 2011.

Si nos fijamos en esa fecha, se puede observar que ya existen variantes antes de esa filtración, lo que puede indicar una compra del código fuente o la verdadera evolución de ZeuS por parte de su desarrollador como se rumorea. De ahí surgió Licat, la variante más evolucionada de todas y que actualmente se conoce como Murofet. Cabe recordar que esta variante utiliza un algoritmo de generación de dominios desde sus inicios y actualmente como backup al sistema P2P de comunicación, lo que dificulta su uso como variante comercial tipo Crimeware.

También se pueden observar otras variantes menos relevantes como la que denominamos ZeuS Cryptless, debido a que se parece mucho al ZeuS 2.x estándar, pero no incluye cifrado de strings, por ejemplo, así como la variante que denominamos ZeuS Process o ZeuS Tasks, que tienen la peculiaridad de no inyectarse en el proceso explorer.exe y terminar, sino que mantendrán el proceso en memoria y, como el nombre indica, utilizará las tareas de Windows para ejecutarse, además de ser utilizado para cometer Click Fraud.

Tras el filtrado del código fuente, han ido apareciendo paulatinamente diferentes versiones, con más o menos modificaciones, desde ICE-IX (cuyas nuevas versiones son conocidas como ZeuS 4.3.3.3), una versión ZeuS 2.3.2.0 que utiliza AES como algoritmo de cifrado, el plugin bancario de Ramnit que dota a este virus de una nueva funcionalidad, la versión que utilizaba Tor para comunicarse con el panel de control, conocida como Skynet, la versión que utiliza SSL, o la más famosa y elaborada Citadel, además de las más recientes KINS y PowerZeuS.

Así pues, el panorama de las variantes de ZeuS se torna cuanto menos complejo, y ya requiere un esfuerzo para mantenerse al día de las diferentes versiones de esta misma familia, que 7 años después, sigue siendo una de las mayores amenazas para el sector financiero. En el siguiente post se detallarán algunas de las diferencias encontradas entre las diferentes variantes comentadas aquí. Mientras tanto… si has visto alguna que no hayamos contemplado, puedes dejar tu comentario :)

Continuar leyendo ZeuS timeline Parte II y Parte III

Fuente: S21sec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!