Исследователи из Symantec обнаружили, что в новой версии Zeus/SpyEye рядовые боты могут выступать в качестве командных серверов.
Это значительно осложнит нейтрализацию ботнетов, ведь раньше главным
методом обезвреживания сети заражённых компьютеров была блокировка
C&C-серверов либо перехват управления с помощью подставного
C&C-сервера. Кроме того, такой метод пиринговой организации узлов
осложняет поиск владельца ботнета и делает бессмысленной работу сервиса Zeustracker.
В целом, данный форк, то есть параллельная версия Zeus, действительно
впечатляет: авторы использовали несколько новых защитных методов против
перехвата управления. Исследователи говорят, что намёки на отказ от
простых C&C-серверов в пользу пиринговой модели появились ещё в
прошлом билде Zeus в конце 2011 года.
В новом варианте эта линия продолжилась: ботнет использует сеть P2P
для сбора информации и повышения выживаемости. Раньше между узлами
передавался список C&C-серверов, и в случае потери связи с одним
сеть переключалась на следующий в списке. Сейчас же C&C-серверы
полностью исчезли из системы: команды напрямую получает один из узлов
P2P-сети и распространяет их по сети. Боты научились получать друг от
друга команды, конфигурационные файлы, исполняемые файлы. На рисунке
показана схема организации в старом и новом вариантах Zeus.
Ещё одним интересным новшеством стал частичный переход на
коммуникации по UDP, а не по TCP. В прошлой версии использовалось только
самодельное UDP-рукопожатие. В случае успеха, боты обменивались
конфигурационными файлами и прочим по TCP. Теперь же передача данных
тоже идёт по UDP. На скриншотах показан трафик старого и нового
вариантов Zeus.
Немного усовершенствовалась также система шифрования.
|