Bir Sosyal Mühendislik Trojanı: ‘Zeus Trojan Horse’

Bir Sosyal Mühendislik Trojanı: ‘Zeus Trojan Horse’ [TR]

Genel Bilgi : ’Zbot’, ‘PRG’, ‘Wsnpoem’ ‘Gorhax’ ve ‘Kneber’ isimleri ile de bilinen, sosyal mühendislik yöntemlerini kullanarak bulaşan ve ilk olarak 2007’de keşfedilen, daha sonra 2009’da popüler olan bu trojanın hedefi öncelikle internet bankacılığı idi. 2010 yılı sonunda ‘Man in the Mobile’ saldırıları ve BlackBerry versiyonları ile tekrar gündeme geldi. Bağlı olduğu botnet’in sadece ABD’de 3.6 milyon PC’yi içerdiği belirtiliyor. Temmuz 2010’da 15 ABD bankasının kredi kartı bilgilerinin tehlikeye girdiği raporlandı. Kasım 2010’da da Türkiye’deki 19 bankanın internet bankacılığı sitelerinin, PTT ve Paypal hesaplarının tanımlandığı bu trojan ğlkemizde de man-in-the-mobile saldırısı ile gündeme geldi. Trojan ilk sisteme bulaşma ve akabinde ilave bilgileri ele geçirmede sosyal mühendislik tekniklerini kullanıyor.

Platform : Microsoft Windows XP (Prof and Home)

Çalışma Şekli    :

1. HaberTurk tarafından gönderilmiş izlenimi verilen ve ilgi çekici bir gündemi içerdiğini iddaa eden bir e-posta iletisi, detayları göstermek için ekindeki 340 KB büyüklüğündeki bir RAR dosyasının açılması için kullanıcıyı ikna ediyor. (Şekil-1)
2. Dosya içerisinden çıkan video.haberturk.com isimli dosya (bir video dosyası zannedilerek) çalıştırılınca, trojan sisteme bulaşarak şu işlemleri gerçekleştiriyor:
   1. Delphi dili ile yazılmış bu dosya en son 01Kasım.2010 tarihinde güncellenmiş.
   2. ftp.my3gb.com sitesine bağlanma yeteneği mevcut. Buraya, kayıt altına aldığı şifreleri içeren dosyaları ve ekran görüntülerini gönderiyor.
   3. Dosya ilk çalıştırılışında, Windows/system32 klasörüne javascheds.exe isimli bir dosya, drivers klasörüne ise UPX ile paketli ie_plugin.exe dosyası yaratıyor.
   4. Aktif hale geldiğinde yakaladığı tuş bilgilerini wins/syskl32.sys dosyasına, internet bankacılığı girişi ekran görüntülerini wins/setup klasörüne  kaydediyor.
   5. İlgili bankaların logolarını da man-in-the-browser saldırısı esnasında kullanmak üzere bilgisayarda bulunduruyor.
3. Aktif hale geldiğinde, trojan Dynamic Data Exchange (DDE) yöntemi ile 19 bankaya ait internet bankacılığı sayfalarına girişi takip ediyor. (IE ve firefox’dan girişleri destekliyor)
4. Bu sayfalara girildiğinde, ‘man-in-the browser’ [web injection] saldırısı ile kendi oluşturduğu bir ön ekranda (Şekil-2), muhtelif gerekçelerle kişiyi ikna ederek TCKN, telefon model, marka ve telefon numarasını (şekil-3) almaya çalışıyor. Aldığı TCKN üzerinde TCKN algoritmasını çalıştırarak hatalı girişleri tespit edebiliyor ve yeniden TCKN isteyebiliyor.
5. Gelen ekrandaki (şekil-3) düşük cümleler (cümle-3) ve imla hataları (cümle-4) dikkat çekerse şüphe uyandırabiliyor.
6. Kullanıcıdan öğrenilen cep telefonu marka ve modelinde çalışan işletim sistemine uygun bir trojan kodu, sağlanan cep tel numarasına gönderilerek ilgili bankaya güvenli girişin sağlanması için yüklenmesi isteniyor. Bu programın yüklenmesine ikna edilmesi ile (sizi dolandırıcılıktan koruyacağını vaad eden bir sertifikanın yükleneceğini anlatan bir mesaj ile) birlikte ‘man-in the mobile’ saldırısına katkı sağlayacak ve telefona gelen SMS’leri sahibinin haberi olmadan yönlendirecek modül de kişinin telefonuna yerleştirilmiş oluyor.
7. Bu safhadan sonra intenet bankacılığına giriş için gerekli her türlü bilgi karşı tarafın eline geçmiş oluyor. Ayrıca, trojan’ın para transferlerinde, ağ trafiğine müdahale ederek, A hesabına EFT yapılsa ve ekranda bu şekilde görünse dahi aslında tranfserin B hesabına yapılmasına ilişkin modifikasyonu yaptığı da belirtiliyor.
8. Trojandaki bir bug sebebi ile firefox.exe dosyasını PATH değişkeninde ararken sonsuz döngüye giriyor ve yüksek CPU yüküne sebep oluyor
9. Trojanın 7.Mart.2011’de BlackBerry versiyonunun da genişletilerek yayıldığı [TrendMicro] bildirildi. Telefon üzerindeki aktiviteler; SMS yönlendirme, admin atama, telefon açma ve kapatma ve bloklanmış çağrı listesine müdahale edebilme gibi işlevleri şeklinde açıklandı.
10. Sonraki versiyonda mobil imzanın da hedef olacağı yönünde görüşler mevcut.
11. Trojan 700 $ ile 3.000 – 4.000 $ (son versiyonları) arasında temin edilebiliyor. Bu pakete bot-builder ve uzaktan erişim arabirimleri için web server sayfaları (PHP, resimler ve SQL şablonları) dahil.

Ek Not: 07.Nisan.2011 tarihli Zeus ve Blackberry hakkındaki gelişmeler içinb buraya tıklayınız

Additional Note: For the news about ‘Blackberry and Zeus’, click here
KAYNAKLAR

1. https://www.infosecisland.com/blogview/12381-Zeus-Trojan-Migrates-to-Blackberry-OS.html
2. http://www.mertsarica.com/?p=1675
3. http://en.wikipedia.org/wiki/Zeus_(trojan_horse)
4. http://netsec.lifeoverip.net/uzman-gorusu/sayi35-uzman-gorusu/
5. http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud/cyber-banking-fraud

Şekil-1

Şekil-2

Şekil-3