无论您是否读过希腊神话,或者您只是一个奇迹漫画的忠实粉丝,你的名字应该熟悉你。然而,在网络犯罪的背景下,Zeus(ZBOT Troyjan)是一个曾经是一个多产恶意软件,可以很容易地被描述为在其时间之前的少数信息偷窃者之一。统称,这种恶意软件及其变种感染了数百万系统和偷走数十亿美元全世界。

宙斯主要被创造为金融或银行木工特洛伊木马,否则被称为褶皱。但是,正如你所看到的那样,其信息窃取能力的程度可以很容易地超越隐蔽的盗窃财务信息,使其对各种规模的个人和组织的真正威胁。

在2007年首次发现野外,最早的已知版本的宙斯特木马被窃取来自美国转型部拥有的系统的敏感信息。据信宙斯源于东欧。Zeus Affiliates将他们的努力从事公司和大银行的努力集中在小于中小型组织,包括城镇和教堂,根据联邦调查局(FBI)的说法

宙斯通常到达网络钓鱼竞选活动,垃圾邮件竞选活动和驱动下载。然而,这很容易改变,任何有动力进行金融欺诈的人都可以轻松地改变他们的目标以及他们希望如何交付他们的宙斯。受害者已经通过Instant Messengers(IM),社交媒体平台中的消息传递功能感染了受害者,甚至是每次安装付费(PPI)服务 - 一种向用户分发广告的方式,即Zeus用户为其广告系列使用。

一旦机器被感染,宙斯立即窃取了Web浏览器的信息Windows的受保护存储(PSTORE),例如银行或财务信息和存储帐户凭据。所有被盗数据都通过a虹吸关闭命令和控制(C&C)服务器。

此外,任何用宙斯感染的系统也变成了一个机器人在一个僵尸网络。一种可以租用其他罪犯的非法云计算平台。这些机器人也用于远程更新驻留在其中的宙斯变体。

迄今为止,根据一个名为网站的网站,有545个Zeus Trojan版本zeusmuseum.com.

FBI的宙斯网络盗窃环的插图。(来源:联邦调查局

宙斯特木马有多强大?

宙斯特木马工具包可以塑造,以便为删除和娴熟的欺诈者做一些事情。

Zeus Lurks内部受感染的机器,因为它悄悄监控网站用户访问。例如,它识别用户在银行业务网站上,然后在用户登录站点时记录keystrokes。因此,欺诈者可以使用录制的击键轻松登录该银行帐户。

Zeus的某些变体也会影响运行Android,Symbian和BlackBerry的移动设备。Zeus是窃取恶意软件的第一个信息,窃取移动事务认证号码(MTANS),一种类型双因素认证(2FA)银行在要执行事务时使用的方法。MTAN也称为SMS TAN代码通常是每次交易唯一的6位数字,并通过SMS发送。

Zeus以多种方式窃取信息,包括:窃取用户击键;收集文本用户进入Web表单;单击鼠标时拍摄屏幕截图;所谓的浏览器(MITB)将新元素添加到Web表单的攻击询问社会安全号码或银行引脚等内容。

至于什么,Zeus抢断,这里是非穷举的列表假如由安全工作安全研究人员:

  • 以HTTP表单提交的数据
  • 存储在Windows受保护存储中的帐户凭据
  • 客户端X.509公钥基础架构(PKI)证书
  • FTP和POP帐户凭据
  • http和flash cookie

宙斯也能够每次感染系统时重新加密自己,使每个感染是“独特的”,因此更难地检测。

许多研究人员将宙斯留在雷达下长时间保持在雷达下的能力,作为它在其时期地下市场成为地下市场中最受欢迎的信息抢劫套件的主要原因。宙斯可能感染了数百万台计算机,许多受害者没有意识到他们的敏感数据落入罪犯的手中,他们的电脑是僵尸网络的一部分。

宙斯开发人员还努力保护他们的恶意软件。根据SecureWorks,Zeus 1.3.4.x是私人销售的套件版本,通过a保护基于硬件的许可系统。此系统又称硬件锁定许可,允许套件仅安装在一台计算机上。

宙斯特洛伊木马的“秋季”

2011年,Zeus 2.0.8.9的源代码泄露。某些团体或个人开始在订阅的基础上提供Zeus Botnets的使用。根据剑桥大学学生宙斯的案例研究,这“通过向多个用户提供相同的服务来最大限度地提高收益。对于服务的用户来说,效益在初始财务支出中减少,同时外包后勤和维护要求,并降低未能实现结果的风险。“

网络犯罪分子也开始创造自己的宙斯的信息窃贼,使宙斯本身成为脚注的东西。Citadel,Gameover,Panda Banker,特拉多特,Flopi和Sphinx是迄今为止的一些已知的宙斯变体。

在代码泄漏之前,据传,宙斯创作者将退休,然后将他的代码销售给名为Spyeye的竞争对手,这是一个即将到来的信息抢救,使得头部转向能够去除宙斯感染。有报道代码上手,是的,进一步确认了两个恶意软件的合并,但宙斯创建者没有退出。根据Brian Krebs的一份报告,创造者仅仅停止公开销售它,并开始创建“更强大,更强大,私人版本”。

2013年,联邦调查局收取和逮捕Aleksander“Harderman”Panin,一个24岁的俄罗斯男,被认为是Spyeye特洛伊木马的创造者。同年,Hamza Bendelladj.是一名24岁的阿尔及利亚男性,被捕,并被扣除了Spyeye的组成部分,操作僵尸网络感染的僵尸网络,当然是欺诈费用。

宙斯死了吗?

只要罪犯继续使用其代码的比特和碎片来创建自己的恶意软件,宙斯不能被视为死亡,这么多慢慢消失。但是,宙斯的目的是数据盗窃,正在卷土重来。

银行木工特洛伊木马没有消失,但近年来,他们的活动被赎金软件的流行病黯然失色。但是,尽管如此,主要的赎金软件运营商在加密之前窃取受害者的数据,因此他们可能会威胁泄漏它。

策略一直如此成功的是一些赎金制品演员宣称远离加密文件,并完全专注于从组织找到和抵消敏感数据。

事实上,在对爱尔兰公共卫生系统的毁灭性袭击之后,Conti Ransomware Gang发出了卫生服务执行官(HSE),免费解密密钥要解锁所有受影响的文件,请相信只需出版和销售他们被盗的数据就足够了。

我想知道多久,在信息偷窃者之前是另一件事将打电话给普京?