Zeus أشهر و أخطر الـ Banking trojan على الإطلاق

الكاتب: | يوم: 17 مارس, 2010 | التعليقات: 13 | القراءات: - عدد المشاهدات 19٬539

Zeus Botnet أصبح واحدا من أشهر و أخطر الـBotnets في الوقت الحاضر خطورة على مستخدمين الأنترنت بشكل عام حيث يقوم بجعل كل ما تفعله على الشبكة العنكبويتة من معلومات و خصوصيات تحت سيطرة الـBot Master نكاد نراه بشكل مبالغ فيه هذة الأيام بمواقع Malware Honeynets مثل malwaredomainlist.com, malwareurl.com و غيرها و اعتقد الكثير من من يقراء هذة التدوينة لم يسمع عنه من قبل او لم يعرف مدى خطورة هذا البوت اولا دعوني اوضح بعض المعلومات عن الـZeus Bot و فكرة عمله و technique المستخدم به الـZeus Bot هو ببساطة عبارة عن Http Botnet


بمعنى ان الـ Command & Control Center يتم التحكم به عن طريق المتصفح او الـWeb Browser فكرة البوت تختلف كثيرا عن اغلب البوتـز الأخرى التى سوف نتطرق إلي تحليلها ان شاء اللًه في مجتمع الحماية بأذن اللًه تعالى فأغلب الbots تكون مهمتها هي جلب عدد اكبر من الضحايا عن طريق استخدام طرق كثيرة لعمليات الـSpreading & Infection و سوف نقوم بشرح مفصل لهذا الكلام في تحليل واحد من اشهر هذه البوتات Butterfly Bot

لكن دعونا نعود إلى الـZeus Botnet و فكرة عمله و لماذا هو يصنف كـ High Risk Malware و هو في رائي هو عبارة عن صاروخ اطلقوه الروس و هم مشهورين جدا تخصص الـMawlares و يتم ابأستخدام فكر جديد في هذا البوت نت قريبا من فكرة الـkeyloggers لكن بشكل مختلف تماما فكما نعرف ان الـkeyloggers تقوم بعمل تسجيل لكل keystroke يقوم المستخدم بكتابته كذلك الـZeus Botnet قريبا من نفس هذة الفكرة فهو يستخدم الـForm Grabbing Technique و لمن لا يعرف ما هو Form Grabbing سوف اقوم بشرح فكرته بشكل مختصر جدا و سريع .

Form Grabbing هي عملية grab او التقاط اي شئ يتم اداخله في Forms بصفحات HTML نفترض مثلا انك قمت بتصفح لموقع بريدك الألكتروني و تريد الدخول إلى بريدك الألكتروني حيث تجد خانة username و خانة Password و تقوم بكتابة بريدك الألكتروني و الكلمة السرية الخاصة بك يتم وقتها الـform grabber بألتقاط ما قمت بعمل عملية POST له و تسجيل الـfiled Name و filed value مثلا username=admin و password=123456 شئ شبيها بعملية http sniffing ..

و هذة هي الفكرة الرئيسية للـzeus bot  فهو يعتمد عليها بشكل اساسي فتمكن خطورته في جلب كل ما تقوم بكتابته في اي خانة في اي موقع الكتروني و يتم ارسال هذة المعلومات إلى http webserver و يتم استقبلها ملف يسمى gate.php الذي يقوم بأستقبال عملية الـpost و تخذينها في قاعدة البيانات .. و بعد فترة من جلب عدد اكبر من الضحايا  يجد المتحكم بالبوت logs بشكل أكبر.

فاستخدام البوت غالبا يتم استخدامه  استخدامات خطيرة لسرقة حسابات البنوك و الحسابات المهمة لدى المستخدمين و لكن بالطبع  ليس كل هذا هو خطورة الـzeus حيث لديه من اسلحه و ادوات ما تجعل الجهاز الذي اصيب بهذا البوت يصبح جميع معلوماته و حسابته على الشبكة العنكبوتية متاحه للمتحكم في البوت

حيث  قام الـBot Author بتطوير هذا البوت نت بشكل كبير في اخر اصدارته بأضافات ترعب مثلا قام
بتطوير   vnc module & proxy module و غيرها من الأضافات الخطيرة ..

proxy module : تجعل من الجهاز المصاب بالبوت proxy server عن طريقه يتمكن المخترق من استخدام الأي بي الخاص بك و التصفح عن طريقة بشكل مباشر و يتم فيه ايضا Bypassing NAT عن طريق الـreverse connection او directly للأجهزة المتصلة مباشر بالأنترنت without nat

vnc module : و هو ما يمكن المخترق و المتحكم في البوت من دخول الجهاز المخترق  و التحكم فيه تحكم كامل بدون ظهور اي شئ  و يقوم بمشاهده جميع ملفات الجهاز المخترق و العمل فيه و استخدام نفس البرامج التى تعمل على الجهاز دون ان يظهر اي اثر على جهاز الضحية بالضبط كـremote desktop connection لكن invisible بشكل تام ..

و قد و  وصلت اسعار الـmodules الواحده فقط إلى اكثر من  $5000 من الـZeus Bot Author
و بالطبع يساوي الكثير لكن الـBlackhat Hackers & Fraudsters ليس لديهم مشاكل لشراء هذة الأضافات

ايضا يوجد بعد الخواص او الأوامر المضافة الـى الـMAIN CORE الخاص بالزيوس  و هي خطيرة ايضا مثل Dns spoofing يجعل من المستخدم عند دخولو لموقع معين يقوم بتحديده الـAttacker إلى فتح موقع اخر تماما من غير اي عمليات redirect ظاهره ..

ايضا توجد خاصية kill system و هي لتدمير و مسح ملفات جهاز الشخص المصاب بالـmalware كما يوجد الكثير من الـcommands و الأضافات الكثيرة في الـzeus bot لن يستطيع المجال ان نتطرق إليها كلها و لكني سوف اكتفي بوضع بعض من الـScreenShots الخاصة ExE Builder و الـWEB PANEL



و للحماية من مثل الـzeus bot ينصح بأستخدام احدى برامج مكافحة malware و أنصح بـmalware bytes لأنه الـmanual removal للبوت لن يكون سهلا على المستخدم العادي  لأنه يقوم بعمل
Injection في winlogon.exe processes و برنامج malwarebytes ممتاز جدا لفحص البرامج الخبيثة على windows و بالطبع مستخدمين الينوكس في safe side  : )

دمتم بود

نبذة عن الكاتب

أحمد ابوالعلا : باحث امن معلومات مصري , متخصص في إختبار نظم الحماية و تجربة الأختراق و مهتم بإختبار تطبيقات الويب, قام باكتشاف العديد من الثغرات في مواقع و شركات عالمية مثل Ebay, Adobe , Apple , Twitter , Yahoo, Microsoft , Google و تم ادراج اسمه عده مرات بحائط الشرف تقديراً لجهوده.

التعليقات:

اترك تعليقاً | عدد التعليقات: (13)

  1. يقول !:
    مارس 17, 2010 الساعة 8:28 ص

    يعطييك العافيه شرحي وافي  وكافي وضحكت الخطور
     
    بس الي ابي اعرفه يعني البرنامج هو بفلوس ؟

    رد
  2. يقول sab:
    مارس 17, 2010 الساعة 11:48 ص

    شكرا على الشرح
    لكن بدي اسال فش شرح كيف نستخدمه ونشغله ؟
    ومن وين بدي انزل النسخة
    وهل فيه نسخ مجانية ولا كلها ممدفوعه
    بس اهم اشي لو فيه شرح كيف نشتغل عليه ونجيب ضحايا
    سلام

    رد
  3. يقول one peace:
    مارس 17, 2010 الساعة 11:54 ص

    مشكور يا اخي على المعلومات
    العلم دائما في تطور ….

    رد
  4. يقول فاضل:
    مارس 17, 2010 الساعة 1:12 م

    السلام عليكم
    ما شاء الله معلومات مفيدة جدا
    لكن أتمنى أن تتطرقوا لشرح اكتشاف هل هو ملغوم أم لا لأني سمعت أن أغلب النسخ ملغومة
    و شكرا
    في أمان الله

    رد
  5. يقول shifty:
    مارس 17, 2010 الساعة 3:11 م

    بسم الله لاقوة الا بالله ، ماشاء الله عليك يا احمد بجد استفدت من هالموضوع بشكل كبير ، وخصوصا  اني اول مره اسمع في هالنوع من الاختراقات ..
     
    وانا بصراحه من مستخدمين الـ malwarebytes وهو قوي جدآ في فحص الملفات المصابه ..
     
     
    شكرآ ..

    رد
  6. يقول Hacker-unix:
    مارس 17, 2010 الساعة 4:18 م

    رائع!
    تدوينة جميلة شكراً أحمد.
    كذلك أيضاً الـBotnet تستخدم لعمل هجوم DDos (distributed denial of service)
    الـBotnet تشكل تهديد كبير لأنها تستطيع ان تسيطر على ملايين الاجهزة!
    نصيحة:Be safe? use Linux :]

    رد
  7. يقول XxRa3eDxX:
    مارس 19, 2010 الساعة 11:18 ص

    اشكرك جدا .
     
    بالفعل ال Zeus رائع ..  سهل التنصيب والتحكم ايضا ..
    الفكرة الخاصه به هي عبارة عن برنامج اختراق .. لكن البرنامج بلغه php ويكون على موقع … يعني لن تحتاج لفتح اي بورت في جهازك او وووو ..
    والميزة الاجمل التحكم من اي مكان بالعالم .. ويمكن ان تشترك مع اصدقائك في نشر الملف الخاص به ..
    انا رأيت اشخاص لديهم 24 الف ضحيه ..
    هناك برامج مكملة لل Zeus  مثل ال Unique Pack  وغيره .. تستخدم ثغرات في المتصفحات تنشر الملف بشكل سهل جدا ولا يشعر بها المستخدم ..
    تقريبا بدأت اتأكد بأن جميع انظمة ويندوز معرضه للإختراق وبسهولة بمجرد زيارة احد المواقع الملغومه .. ولا تحتاج لأي شطارة من صاحب الجهاز .. لاني كنت بالسابق اقول .. المستخدم يعرف يتحكم بدخول الفيروسات …
    بالطبع الأمر ليس على اطلاقه ..
    اكرر شكري لصاحب الموضوع ..
    سلام عليكم

    رد
  8. يقول Ahmed:
    مارس 21, 2010 الساعة 4:36 ص

    sab@ :

    اعتقد يوجد كثير من الشروحات للأستخدام الـzeus بالـundeground forums & websites
    و لكنا في مجتمع الحماية لا نتطرق للشرح تشغيل بوت او استخدامه لأنها المواضيع سوف تؤدي إلى الأستخدام الخطاء
    و ليس لغرض تعليمي كما تفهم ..

    و مع سؤالك الثاني بخصوص النسخ مجانية او مدفوعة فيوجد الأثنين , يوجد بعض النسخ التي اصبحت public & leaked out
    و يوجد ايضا بعد النسخ التى مازلت غير متاحة مع الجميع إلى الأن .. و لكن النسخ الـpublic كثيرة و يمكنك ان تجدها بسهولة و في اصدارت حديثة ايضا ..

    فاضل@ :

    نعم اخي بالنسبة لسؤالك يوجد  هذا و هذا من الممكن ان تجد بعض النسخ الملغومة و هنا يأتي دورك بتحيل الـbuilder و الكشف عن التلغيمات او ما شابه ذلك .

    و اكررها نحن لا نوفر نسخ او source codes من اي malwares بمجتمع الحماية و اذا كان سوف يكون لأعراض تعليمية فقط ..

    shifty@ :

    شكرا لك و ان شاء اللًه تعالى سوف نتطرق لمزيد من المواضيع في مجال الـmalwares و botnets خاصة و تحليلها و اعطاء الكثير عن التفاصيل من مثل هذة البرامج الخبيثة و التى اصبحت تشكل تهديدا كبير على المستخدمين في الوقت الحالي ..

    و بالفعل صدقت الـmalwarebytes هو برنامج مجاني ايضا و ممتاز لتصدى لأغلب البرامج الخبيثة ( malwares ) بشكل قوي .

    Hacker-unix@ :

    نعم بالفعل كلامك صحيح و DDOS هو شئ اساسي لأستخدام الـBotnets نتيجة لعدد الضحايا الكبير الذي يتم الحصول عليه
    و يأثر بشكل كبير اذا كان الهجوم و عدد الـZoombies للبوت كان اكبر و اكبر ..

    XxRa3eDxX@ :

    كلامك صحيح اخي بالنسبة للزيوس فهو سهل الأستخدام ولا يحتاج لأي skills او اشياء معقدة و هذا ما يجعله
    King of malware crimes لأن جميع المخترقين و اصحاب البوت نتز صارو يستخدموه بشكل رهيب لجلب معلومات و سرقة حسابات هامه للمستخدمين . و بالنسبة لكلامك عن unique pack فهي قديمة بعض الشئ و هي ما تسمى BEP او ( Browser Exploit Pack )

    و ان شاء اللًه تعالى سوف نتطرق ايضا لمفهوم عمل الـBEP و ما يمكن ان تفعله و استخدامتها الخطيرة لجلب الاف من الضحايا ..

    رد
  9. يقول Eng. Sabri Saleh:
    مارس 21, 2010 الساعة 4:40 ص

    أسد يا أحمد ماشاء الله عليك

    ننتظر يا صديقي بقية السلسلة عن الـ Bot  و نريد تطبيقات عملية

    همسة: هناك فكرة شياطينية في الرأس.. أظنك ستواقف من الأن 😀

     

    تحياتي و احترامي

    رد
  10. يقول Tweets that mention Zeus Botnet – Bank Trojan & FormGrabber Bot | Security 4 Arabs - مجتمع الحماية العربي -- Topsy.com:
    مارس 27, 2010 الساعة 6:25 م

    […] This post was mentioned on Twitter by Security 4 Arabs. Security 4 Arabs said: Zeus Botnet – Bank Trojan & FormGrabber Bot | Security 4 Arabs – مجتمع الحماية العربي http://bit.ly/biGX4Q […]

    رد
  11. يقول Hesham:
    مارس 28, 2010 الساعة 3:41 م

    الله يعطيك العافيه على الشرح ,
    انا استخدمت البرنامج لتجربه فقط على احد اجهزتي , بعد عدت ساعات وجدت ضحيتين جدد في لوحة التحكم مع اني لم ارسل اي شي لاحد !؟

    رد
  12. يقول michael:
    يونيو 27, 2011 الساعة 10:29 م

    كيفكم يا جماعه

    انا مايكل من مصر .. عندي خبره كافيه في البوت نت .. الي يريد تركيبه او كيف يشتغل او امثله حيه للبوت نت .. يكلمني ..

    [email protected]

    🙂

    رد
  13. يقول صبري صالح:
    يوليو 1, 2011 الساعة 12:22 م

    @michael
    مرحبا مايكل ,,
    تستطيع أن تكتب و تفيدنا في الموقع إن أحببت و بالطبع حقوق كتابتك محفوظة باسمك

    بالتوفيق
    تحياتي واحترامي

    رد

أكتب تعليق