Zeus on the Loose

Posted on May 13, 2011 by Simon Roses

[Español] Muchos conocerán a Zeus como el padre de los dioses en la mitología griega, pero Zeus también es un conocido malware con interesantes características. Se estima que este botnet es uno de los más activos con millones de infecciones por todo el mundo y que se puede contratar como un servicio o comprar en algunos foros por unos 10000 dólares con el código fuente. Es todo un lucrativo negocio.

[English] Many will know Zeus as the father of the gods in Greek mythology, but Zeus is also a well- known malware with interesting features. It is estimated that this botnet is one of the most active with million infections worldwide and it can be contracted as a service or purchased in various forums for 10000 USD with the source code. It’s a lucrative business.

En los últimos días han aparecido copias del código fuente en diversas webs en Internet y es fácil de encontrar con unas básicas habilidades de búsqueda, por lo que podemos imaginar en los próximos meses una explosión de botnets basados en Zeus.

In recent days copies of the source code have appeared on various websites on Internet and it’s easy to find with a few basic search skills, so we can imagine an explosion of Zeus-based botnets in the coming months.

En un análisis superficial del código fuente podemos encontrar una decente documentación de su instalación, configuración y uso, gracias :)

A superficial analysis of the source code we can find a decent documentation of installation, configuration and use, thank you :)

Lo cierto es que este malware es capaz de infectar varias versiones de Windows (XP, Vista y 7) con UAC activado y se controla desde un simple interfaz web escrito en php (C&C).

The truth is that this malware is able to infect multiple versions of Windows (XP, Vista and 7) with UAC turned on and is controlled from a simple web interface written in php (C&C).

Igual que hicimos con Stuxnet os pongo a continuación un mapa gráfico sobre Zeus en el cual podréis estudiar casi todas sus  capacidades.

Just as we did with Stuxnet I put below a graphic map on Zeus in which you can study almost all its features.

Composición de Zeus / Zeus Composition

 

 Analizando el gráfico podemos ver que Zeus es un complejo y sofisticado malware por lo que no sorprende su alto número de infecciones. Aunque Zeus no contiene exploits nos ofrece interesantes características como diversos canales de comunicación entre el Cliente y el Servidor con la posibilidad de encriptar mediante RC4 para saltarnos los mecanismos de seguridad típicos ;) así como un amplio arsenal: sniffer, robo de certificados, cookies y contraseñas, infección de navegadores (IE e Firefox), key logger, opciones de scripting y más. No es de extrañar que este botnet sea ampliamente utilizado por el ciber-crimen y con éxito.

Analyzing the graph we can see that Zeus is a complex and sophisticated malware so its high number of infections is not surprising. Although Zeus does not contain exploits offers interesting features such as number of communication channels between the client and the server with the possibility to encrypt using RC4 to skip your typical security mechanisms ;) as well as a broad arsenal: sniffer, stealing certificates, cookies and passwords, infection of browsers (IE and Firefox), key logger, options for scripting and more. Not strange that this botnet is widely and successfully used by cyber-crime.

Ahora que el código fuente es “público” podemos plantearnos diversas cuestiones:

  1. ¿Incluirán los framewoks de explotación algo parecido a Zeus? Hola Metasploit, sería genial :)
  2. ¿Veremos algún kit con código mezclado de Zeus y Stuxnet?
  3. Seguramente veremos una explosión de clones de Zeus en los próximos meses. ¿Cuál será su precio?
  4. ¿Uso de Zeus para la ciberguerra?

Now that the source code is “public” we can consider various issues:

  1. Will the exploitation frameworks include something like Zeus? Hello Metasploit, it would be great :)
  2. Will we see a kit mixing code from Zeus and Stuxnet?
  3. Surely we will see an explosion of clones of Zeus in the coming months. What will be their price?
  4. Use of Zeus for cyber war operations?

Aquí concluimos este análisis de Zeus, aunque personalmente seguiré estudiando su código con más detalle y quizás algún día pongamos un post más detallado. Imagino que todas las casas de anti-virus están como locos estudiando el código ;)

¿Y cuál es tu visión de Zeus para los próximos meses?

Here we conclude this analysis of Zeus although personally I will continue studying the code in more detail and perhaps one day publish a more in-depth post. I imagine that all anti-virus houses are looking at the code like crazy ;)

And what is your vision of Zeus for the coming months?

— Simon Roses Femerling

Posted in Hacking, Microsoft, Pentest, Security | Tagged , , , , , , , , , , | Leave a comment

Simon Roses Femerling Security Advisories (SRF-SA): New Blog Section

Posted on May 6, 2011 by Simon Roses

Inauguramos una nueva sección del blog con un aviso de seguridad en una aplicación Android vulnerable que descubrí hace unos meses, todo un ejemplo de desarrollo inseguro.

No soy muy dado a publicar avisos de seguridad por el amplio gasto de recursos que consumen y el poco ROI pero de vez en cuando publicaremos algo. Tenemos más 0days en el horno ;)

We are inaugurating a new section of the blog with a security advisory in a vulnerable Android app that I discovered a few months ago, a good example of insecure development practices.

I’m not too keen to publish security advisories for the broad spending of resources they consume and the little ROI but occasionally we will release some stuff. We have more 0days in the oven ;)

— Simon Roses Femerling

Posted in Advisories, Security | Tagged , , | Leave a comment

Infiltrate 2011

Posted on April 28, 2011 by Simon Roses

El 16 y 17 de Abril tuvo lugar en Miami la primera edición de Infiltrate organizada por ImmunitySec con la aspiración de ser el mejor congreso ofensivo y tengo que admitir que lo han conseguido y con nota!

The first edition of Infiltrate organized by ImmunitySec was held in Miami on 16 And 17 April with the aspiration of being the best offensive conference and I have to admit that they have exceeded my expectations!.

Es el primer congreso en el que he asistido a todas las charlas porque eran todas muy buenas, aunque no perfectas.  Prácticamente casi todas las presentaciones utilizaban exploits y algunos eran 0day.

It is the first conference that I have attended all the talks because they were all very good but not perfect. Almost all presentations used exploits and some were 0day.

Mis presentaciones favoritas fueron del primer día (Rock’m Sock’m Robots: Exploiting the Android Attack Surface y The Listening) aunque las presentaciones del segundo día tampoco tenían desperdicio como: Bypassing Windows services protections o Infiltrating PHP.

My favorite presentations were on the first day (Rock’m Sock’m Robots: Exploiting the Android Attack Surface and The Listening) although the presentations of the second day were not wasted material either: Bypassing Windows services protections or Infiltrating PHP.

Desde luego ha sido uno de los mejores congresos que he asistido, no sólo por la calidad técnica sino por el trato recibido ya que la gente de ImmunitySec ha realizado un gran esfuerzo poniendo toda la carne en el asador, y se han preocupado en todo momento en que los asistentes estuviéramos cómodos, por lo que aprovecho para felicitar a todo el equipo de Immunity por el gran evento! :)

Sin duda un congreso en mi lista de obligados, hasta el año que viene!

For sure one of the best conferences I have ever attended not only by the technical quality but by the treatment received by the people of ImmunitySec, who made a great effort to make sure all attendees were comfortable. Because of this I would like to take this opportunity to give my congratulations to all the Immunity team for the big event! :)

No doubt a mandatory conference on my list, until next year!

— Simon Roses Femerling

Posted in Conference, Hacking, Pentest, Security, Technology | Tagged , , , , , , , | Leave a comment