Analitykom G DATA Advanced Analytics udało się podpatrzeć, na czym polega działanie tego popularny konia trojańskiego atakującego systemy bankowe.

W jaki sposób ofiary dowiadują się o ataku?

Zła wiadomość: gdy niechronione urządzenie zostanie zainfekowane, niemal niemożliwe jest wykrycie infekcji wyłącznie na podstawie tego, co widać na monitorze. Wyświetlane treści są w bardzo sprytny sposób manipulowane i doskonale wtapiają się w wygląd strony konkretnego banku lub serwisu z płatnościami.

Użytkownicy proszeni są o przekazanie pieniędzy na cel charytatywny lub nakłaniani do zwrotu przelewu, jaki omyłkowo otrzymali. Czasem dochodzi nawet do grożenia postępowaniem karnym w związku z praniem brudnych pieniędzy przez „Niemiecką Policję Finansową” (taka instytucja nie funkcjonuje w Niemczech, a przynajmniej nie pod tą nazwą). ZeuS Panda oprócz tego, że przechwytuje dane wprowadzane na stronie internetowej i modyfikuje to, co użytkownik widzi na swoim monitorze, zmienia również niektóre ustawienia zabezpieczeń i ostrzeżenia przeglądarki, które w przeciwnym razie mogłyby doprowadzić do jego wykrycia.

Jest jednak i dobra wiadomość: istnieją rozwiązania technologiczne, dzięki którym możliwe jest wykrycie ataku, nawet jeśli sygnatura złośliwego oprogramowania nie jest dostępna.

Co stanowi o wyjątkowości Pandy?

– Istnieje wiele złośliwych aplikacji mających na celu uniemożliwienie wykrycia infekcji i jej przeanalizowania, jednak ZeuS Panda idzie w tej ostatniej kwestii o krok dalej: Szuka informacji potwierdzających, że działa w maszynie wirtualnej – między innymi VMWare, OpenBox, Wine bądź inne środowiska typu HyperV. Wielu analityków uruchamia złośliwe oprogramowanie na próbę w środowiskach wirtualnych, jednak takie podejście to pierwszy krok to udaremnienia przeprowadzenia jakiejkolwiek analizy – mówi Robert Dziemianko z G DATA.

– Ponadto wiele narzędzi wykorzystywanych przez analityków jest także sprawdzanych pod kątem debuggera ProcMon, Regshot, Sandboxie, Wireshark, IDA i SoftICE. W przypadku wykrycia obecności któregokolwiek z tych programów złośliwe oprogramowanie nie zadziała – dodaje ekspert z G DATA.

Inne złośliwe programy opierają się w większości na podstawowym wykrywaniu obecności rozwiązań typu VMWare i OpenBox; funkcje te są często po prostu kopiowane i wklejane od siebie nawzajem. Ponadto, do stworzenia złośliwego pliku wykorzystuje się różne szablony, które wymagają ręcznej selekcji.

Istnieją również inne przykłady złośliwego oprogramowania, które opierają się na podobnych technikach, ale w wielu przypadkach ich wdrożenie nie działa tak, jak powinno lub złośliwy program zawiera błędy uniemożliwiające jego funkcjonowanie. Złośliwy program przedziera się przez kolejne warstwy zabezpieczeń, a nagle okazuje się, że adres URL, z którym program miał się skontaktować, zawierał literówkę; cała akcja jest więc już „spalona”.

Jeśli chodzi o ZeuS Panda, sprawy mają się inaczej: program zbiera dane do momentu, gdy otrzyma komendę, by przestać. Jeśli serwer Command and Control (C2) nie zostanie usunięty, zebrane dane gromadzą się w systemie do momentu, aż będą mogły zostać przeniesione do innego serwera C2.

Niebezpieczna transformacja

Czynnikiem, który decyduje o wyjątkowości Pandy, poza samym mechanizmem oszustwa oraz precyzją jego wykonania, jest uniwersalność tego złośliwego oprogramowania. ZeuS Panda jest w pierwszej kolejności koniem trojańskim atakującym bankowość, może również wykradać z systemu dane innego typu. Jednym z przykładów jest zawartość schowka (np. dane skopiowane z pliku, które mają być wklejone gdzie indziej – menadżer haseł często wykorzystuje schowek przy przenoszeniu danych z menadżera do aplikacji/strony), wykonywanie zrzutów ekranu oraz tworzenie pełnej luki typu backdoor w systemie z wykorzystaniem VNC. Ostatnie działanie można porównać do osoby siedzącej za użytkownikiem i zaglądającej mu przez ramię przez 24 godziny na dobę.

Wybór funkcji, która ma zostać aktywowana, zależy od konfiguracji złośliwego oprogramowania, pobieranej automatycznie w regularnych odstępach czasu. W ten sposób ZeuS Panda może przeobrazić się z konia trojańskiego atakującego systemy bankowości elektronicznej w oprogramowanie szpiegowskie oraz sterujące komputerem na odległość w ciągu zaledwie kilku minut, w zależności wyłącznie od decyzji atakującego.

Pojawiły się jasne namiary na pochodzenie złośliwego oprogramowania ZeuS Panda: nie zadziała ono, jeśli wykryje, że system pochodzi z Rosji, Ukrainy, Białorusi lub Kazachstanu. Zachęcamy też do zapoznania się z pełną analizą oprogramowania ZeuS Panda.