Zeus
Beberapa waktu yang lalu pernah ditulis pada salah satu forum underground indonesia mengenai bot zeus beserta contoh bot tersebut. Berikut ini ditulis kembali sebagai archive,
Banyak yang sering membicarakan zeus seperti di thread ini, atau ini. Tapi sepertinya penyebaran bot ini masih dianggap tabu, kalaupun ada yang punya biasanya di keep utk private use
Bot zeus termasuk ‘public’ bot yang paling populer dan banyak dipake oleh cybercrime dari gank hacker kawasan eropa timur untuk nyolong duit. Sebelumnya pernah dibahas ttg browser exploit pack, nah browser exploit pack dipake untuk eksploitasi browser korban, setelah eksploitasi berhasil maka di deliver beragam jenis trojan atau bot, salah satunya si zeus ini.
Zeus di kategorikan bot tingkat tinggi karena beberapa kemampuan yang dimilikinya, salah satunya dan yang paling utama dalam hal pencurian uang nasabah adalah interception WinAPI (wininet.dll). Teori nya adalah, ketika suatu komputer terinfeksi zeus, zeus akan sabotase wininet.dll. wininet.dll digunakan oleh beberapa aplikasi, termasuk di antaranya internet explorer. Jadi bisa dibayangkan ketika kita buka http://www.klikbca.com, maka secara low-level programming, internet explorer akan memanggil fungsi2 network programming menggunakan WinAPI dari wininet.dll, untuk membuka koneksi ke http://www.klikbca.com, dan mendapatkan response, terus kemudian ditampilkan (rendering) ke layar internet explorer dalam bentuk tampilan web dan kode-kode HTML.
Apa yang dilakukan zeus adalah intercept wininet.dll, penyerang bisa defined jenis-jenis intercept yang dilakukan via feature yang disebut webinjects, jadi di definisikan secara low-level apabila yang hendak dibuka adalah situs http://www.klikbca.com, maka lewat wininet.dll akan di tambahin tag-tag HTML sesuai kehendak penyerang. anggaplah di response baliknya ada form untuk pengisian username/password, maka zeus akan menambahkan *hidden* form atau jenis form lain sehingga korban ketika mengetik username/password akan tersimpan log nya dan dikirimkan ke penyerang.
Yang lebih mengerikan, zeus bisa dipake untuk intercept aktivitas transfer bank, dia akan menunggu sampe halaman web untuk transfer rekening terbuka, korban memasukan alamat tujuan, sesaat sebelum dikirim maka komunikasi tersebut di intercept via wininet.dll, diganti menjadi rekening tujuan yang telah ditentukan oleh penyerang, baru dikirimkan ke server bank. Server bank membaca data tersebut sebagai request legitimate / asli, karena dikirim oleh account nasabah. Dan dalam sekejap duit nasabah tsb dikirim ke rekening yang ditentukan penyerang.
Zeus juga bisa dipake untuk fungsi-fungsi seperti connectback terutama buat korban-korban yang dibelakang NAT (inside NAT). Anggaplah saat ini kita sedang ingin melakukan sql-injection terhadap suatu web, tapi jejak nya (IP kita) gak ingin ketahuan karena lagi pake internet speedy punya nenek, simpenan proxy pun lagi kosong. Maka bisa pilih salah satu komputer yang telah terinfeksi zeus dan termasuk dalam botnet milik kita utk dijadikan sebagai socks proxy, misal: salah satu komputer dalam network suatu perusahaan. Ketika aksi sql-inject tsb di forensics, alamat pelaku berasal dari salah satu komputer perusahaan tsb.
Begitulah sekilas cerita agak teknikal ttg bot zeus.
Sample?
hxxps://***edited***, pass:
Terdiri dari builder untuk buat .exe nya, plus control panel dalam bentuk web. Ada tambahan untuk server connectback nya juga (sayang nya hanya utk windows, jd mau gak mau hrs punya mesin spt VPS berbasis windows agar bisa pake feature connectback via socks).
Itu zeus versi lama sktr thn 2008/2009 dan sudah leak dimana2 (versi terbarunya pake hardware encryption, dan spt nya sudah out-of-life krn rumor nya, development / marketing zeus diambil alih / diteruskan oleh developer spy-eye), dlm keadaan ‘telanjang’ jelas akan terdeteksi AV. Tapi klo ada yang punya FUD (Fully Undetected) crypter, atau menggunakan bbrp metode lain, hrs nya sih bisa lah disembunyikan dari AV
As always, informasi-informasi spt ini ibarat pedang, tergantung siapa yang menggunakan. At least, buat yang penasaran dengan jenis malware seperti ini, akan dipake untuk belajar dan mungkin bisa jadi malware analyst someday (why not?).
Be a good (invisible?) boy ya
Beberapa waktu yang lalu sempat tersiar kabar di internet mengenai source code bot zeus yang leak, namun dalam bentuk .rar dan dipassword. Hari ini tersiar kabar di internet bahwa source code tersebut sudah leak dengan known password: zeus. Dapat di download dari sini.
Leak-nya source code bot canggih seperti zeus tentunya dapat dijadikan pelajaran yang sangat berharga untuk kedua belah pihak, the so called black and white (or anything you called them, feel free to use your own term). Didalam source code tersebut terdapat manual yang sangat lengkap mengenai feature-feature zeus, dan jika sesuai dengan data dokumentasinya maka versi leak tersebut (Version 2.0.8.9) hanya berbeda satu versi dari versi ter-update (Version 2.1.0.0, 20.03.2011).
Have phun!
3 Responses to “Zeus”
Leave a Reply
hehehe kurang bagus itu zeus cuma nginfect windows, untuk bisa server2 dan pc2 personal kita perlu botnet yg bisa infeksi berbagai os
check this out folk
http://myw1sd0m.blogspot.com/2011/05/modifying-some-bsd-exploit-to-make-our.html
nah Cara menjadikan dia FUD gimana ?? da coba berapa crypter ngga mantap